Kaspersky Unified Monitoring and Analysis Platform

Создание, переименование, перемещение и удаление папок с ресурсами

Операции с ресурсами

Вы можете управлять ресурсами KUMA: создавать, перемещать, копировать, редактировать и удалять ресурсы, а также импортировать и экспортировать их. Перечисленные операции доступны для всех ресурсов, вне зависимости от типа ресурса.

В таблице ресурсов в нижней части отображается количество ресурсов из доступных вам тенантов в таблице:

Всего – общее количество или с учетом примененного фильтра или поиска.
Выбрано – количество выбранных ресурсов.

Ресурсы KUMA располагаются в папках. Вы можете добавлять, переименовывать, перемещать и удалять папки ресурсов.

В этом разделе

Создание, дублирование, перемещение, редактирование и удаление ресурсов

Массовое удаление ресурсов

Привязать корреляторы к корреляционному правилу

Трассировка использования ресурсов

Версионирование ресурсов

Создание, переименование, перемещение и удаление папок с ресурсами

Папки можно создавать, переименовывать, перемещать и удалять.

Чтобы создать папку:

Выберите в дереве папку, в которой требуется новая папка.
Нажмите на кнопку Добавить папку.

Папка будет создана.

Чтобы переименовать папку:

Найдите нужную папку в структуре папок.
Наведите курсор на название папки.
Рядом с названием папки появится значок .
В раскрывающемся списке выберите Переименовать.
Название папки станет доступным для редактирования.
Введите новое название папки и нажмите ENTER.
Название папки не может быть пустым.

Папка будет переименована.

Чтобы переместить папку,

Нажмите название папки и перетащите ее в требуемое место в структуре папок.

Папки невозможно переместить из одного тенанта в другой

Чтобы удалить папку:

В структуре папок выберите нужную папку.
Правой кнопкой мыши вызовите контекстное меню и выберите Удалить.
Появится окно подтверждения.
Нажмите ОК.

Папка будет удалена.

Программа не удаляет папки, которые содержат файлы или вложенные папки.

Создание, дублирование, перемещение, редактирование и удаление ресурсов

Вы можете создавать, перемещать, копировать, редактировать и удалять ресурсы.

Чтобы создать ресурс:

В разделе Ресурсы → <тип ресурса> выберите или создайте папку, в которую требуется добавить новый ресурс.
Корневые папки соответствуют тенантам. Чтобы ресурс был доступен определенному тенанту, его следует создать в папке этого тенанта.
Нажмите на кнопку Добавить <тип ресурса>.
Откроется окно для настройки параметров выбранного типа ресурсов. Доступные параметры зависят от типа ресурса.
Введите уникальное имя ресурса в поле Название.
Укажите обязательные параметры (они отмечены красной звездочкой).
При желании укажите дополнительные параметры (это необязательное действие).
Нажмите Сохранить.

Ресурс будет создан и доступен для использования в сервисах и других ресурсах.

Чтобы переместить ресурс в новую папку:

В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
Установите флажки рядом с ресурсами, которые вы хотите переместить. Можно выбрать сразу несколько ресурсов.
Рядом с выбранными ресурсами отобразится значок . В нижней части таблицы отобразится количество выбранных ресурсов.
Перетащите ресурсы в нужную папку с помощью значка .

Ресурсы будут перемещены в новые папки.

Вы можете перемещать ресурсы только в папки того тенанта, в рамках которого были созданы ресурсы. Перемещение ресурсов в папки другого тенанта недоступно.

Чтобы скопировать ресурс:

В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
Установите флажок рядом с ресурсом, которые вы хотите скопировать, и нажмите Дублировать.
В нижней части таблицы отобразится количество выбранных ресурсов.

Отображается окно с параметрами ресурса, который вы выбрали для копирования. Доступные параметры зависят от типа ресурса.

В поле Название отображается <название выбранного ресурса> - копия.
Измените нужные параметры.
Введите уникальное имя в поле Название.
Нажмите Сохранить.

Копия ресурса будет создана.

Чтобы изменить ресурс:

В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
Выберите ресурс.
Отображается окно с параметрами выбранного ресурса. Доступные параметры зависят от типа ресурса.
Измените нужные параметры.
Выполните одно из следующих действий:
- Нажмите Сохранить, чтобы сохранить изменения.
- Нажмите Сохранить с комментарием и в открывшемся окне укажите комментарий к сделанным изменениям. Изменения будут сохранены, и комментарий будет добавлен к созданной версии ресурса.

Ресурс будет обновлен, и для него будет создана новая версия. Если этот ресурс используется в сервисе, перезапустите сервис, чтобы он задействовал новую версию ресурса.

Если текущий ресурс недоступен для редактирования (например, невозможно изменить корреляционное правило), можно перейти в карточку другого ресурса, нажав на кнопку Посмотреть. Эта кнопка становится доступной в пакетных ресурсах при нажатии на другой ресурс, связанный с вашим текущим ресурсом.

Если при сохранении изменений ресурса обнаруживается, что текущая версия ресурса была изменена другим пользователем, вам будет предложен выбор из следующих действий:

Сохранить ваши изменения как новую версию ресурса поверх изменений другого пользователя.
Сохранить ваши изменения как новый ресурс.
В этом случае будет создан дубликат изначального ресурса с измененными параметрами. В название нового ресурса будет добавлено - копия, и в комментарии к его версии будут указаны название и версия ресурса, с которого был создан дубликат.
Отменить ваши изменения.
Отмененные изменения невозможно восстановить.

Чтобы удалить ресурс:

В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
Установите флажок рядом с ресурсом, которые вы хотите удалить, и нажмите Удалить.
В нижней части таблицы отобразится количество выбранных ресурсов. Откроется окно подтверждения.
Нажмите ОК.

Ресурс и все его сохраненные версии будут удалены.

Массовое удаление ресурсов

В веб-интерфейсе KUMA имеется возможность множественного выбора ресурсов и их удаления.

У вас должны быть права на удаление ресурсов.

Чтобы удалить ресурсы:

В разделе Ресурсы → <тип ресурса> найдите требуемые ресурсы в структуре папок.
Установите флажок рядом с ресурсами, которые вы хотите удалить.
В нижней части таблицы отображается общее количество ресурсов и количество выбранных ресурсов.
Нажмите Удалить.
Появится окно, в котором программа сообщает, можно ли безопасно удалить ресурсы, в зависимости от наличия связей выбранных для удаления ресурсов с другими ресурсами.

Для всех ресурсов, которые не могут быть удалены, программа отображает связи в табличном виде в модальном окне.
Нажмите Удалить.
Удалятся только ресурсы без связей.

Удаление папок с ресурсами

Вы можете выбрать операцию удаления для любой папки, на любом уровне, кроме тенанта.

Чтобы удалить папку с ресурсами:

В разделе Ресурсы выберите папку.
Нажмите на кнопку и выберите опцию Удалить.
Откроется окно с запросом подтверждения удаления. В окне отобразится поле для ввода сгенерированного значения. Также при наличии зависимых ресурсов в папке отобразится список зависимостей.
Введите сгенерированное значение.
Подтвердите удаление.

Вы можете удалить папку, если:

Папка не содержит вложенных папок и ресурсов.
Папка не содержит вложенных папок, но содержит несвязанные ресурсы.
Ни на один из ресурсов папки ничто не ссылается (сервисы, ресурсы, интеграции).

Привязать корреляторы к корреляционному правилу

Для созданных корреляционных правил доступна опция Привязать корреляторы.

Чтобы привязать корреляторы:

В веб-интерфейсе KUMA → Ресурсы → Правила корреляции выберите созданное правило корреляции и перейдите на вкладку Корреляторы.
В открывшемся окне Корреляторы выберите один или несколько корреляторов, установив рядом флажок.
Нажмите ОК.

Корреляторы привязаны к правилу корреляции.

Правило будет добавлено последним в очередь для выполнения в каждом выбранном корреляторе. Если вы хотите поднять правило в очереди выполнения, перейдите в Ресурсы → Корреляторы → <выбранный коррелятор> → Редактирование коррелятора → Корреляция, установите флажок рядом с нужным правилом и воспользуйтесь кнопками Поднять или Опустить, чтобы установить желаемый порядок выполнения правил.

Обновление ресурсов

"Лаборатория Касперского" регулярно выпускает пакеты с ресурсами, доступные для импорта из репозитория. Вы можете указать адрес электронной почты в параметрах задачи Обновление репозитория и после первого выполнения задачи KUMA будет отправлять на указанный адрес уведомления о доступных для обновления пакетах. Вы можете выполнить обновление репозитория, проанализировать содержимое каждого обновления и принять решение об импорте и внедрении новых ресурсов в эксплуатируемую инфраструктуру. KUMA поддерживает обновление c серверов Лаборатории Касперского и из пользовательского источника, в том числе без прямого доступа к интернету с использованием механизма «зеркала обновления». При использовании в инфраструктуре других продуктов Лаборатории Касперского, можно подключить KUMA к уже существующим зеркалам обновления. Подсистема обновления расширяет возможности KUMA по реагированию на изменения ландшафта угроз и инфраструктуры, а возможность её использования без прямого доступа к интернету обеспечивает гарантии конфиденциальности данных, обрабатываемых системой.

Чтобы обновить ресурсы, вам необходимо выполнить следующие шаги:

Обновить репозиторий, чтобы доставить в репозиторий пакеты с ресурсами. Обновление репозитория доступно в двух режимах:
- Автоматическое обновление.
- Обновление вручную.
Импортировать пакеты с ресурсами из обновленного репозитория в тенант.

Чтобы сервис начал использовать обновленные ресурсы, после выполнения импорта убедитесь, что ресурсы привязаны. В случае необходимости привяжите ресурсы к коллекторам, корреляторам или агентам и обновите параметры.

Чтобы настроить автоматическое обновление:

В разделе Параметры – Обновление репозитория настройте Интервал обновления в часах. Значение по умолчанию - 24 часа.
Укажите Источник обновления. Доступны следующие варианты:
- Серверы обновления "Лаборатории Касперского"
  Серверы расположены в разных странах по всему миру, что обеспечивает высокую надежность обновления. Если обновление невозможно выполнить с одного сервера, KUMA переключается на другой сервер.
  
  .
  Вы можете посмотреть список серверов обновления в Базе знаний.
- Пользовательский источник:
  - URL к папке общего доступа на HTTP-сервере.
  - Полный путь к локальной папке на хосте с установленным ядром KUMA.
    В случае использования локальной папки у системного пользователя kuma должен быть доступ для чтения к этой папке и ее содержимому.
При необходимости в поле Прокси-сервер выберите из списка существующий прокси-сервер, который должен использоваться при запуске задачи Обновление репозитория.
Вы также можете создать новый прокси-сервер, нажав на значок плюса ().
Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.
Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.
Нажмите Сохранить. Задача обновления запустится автоматически в самое ближайшее время и дальше запуск задачи будет выполнен в соответствии с расписанием.

Чтобы запустить обновление репозитория вручную:

Если вы хотите отключить автоматическое обновление, в разделе Параметры – Обновление репозитория установите флажок Отключить автоматическое обновление. По умолчанию флажок снят. Также вы можете запустить обновление репозитория вручную, не отключая автоматическое обновление. Запуск обновления вручную не влияет на график выполнения автоматического обновления.
Укажите Источник обновления. Доступны следующие варианты:
- Серверы обновления "Лаборатории Касперского".
- Пользовательский источник:
  - URL к папке общего доступа на HTTP-сервере.
  - Полный путь к локальной папке на хосте с установленным ядром KUMA.
    В случае использования локальной папки у пользователя kuma должен быть доступ к этой папке и её содержимому.
При необходимости в поле Прокси-сервер выберите из списка существующий прокси-сервер, который должен использоваться при запуске задачи Обновление репозитория.
Вы также можете создать новый прокси-сервер, нажав на значок плюса ().
Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.
Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.
Нажмите Запустить обновление. Таким образом, вы одновременно сохраните настройки и вручную запустите выполнение задачи Обновление репозитория.

Настройка пользовательского источника с использованием Kaspersky Update Utility

Вы можете обновлять ресурсы без доступа к интернету через пользовательский источник обновления с помощью утилиты Kaspersky Update Utility.

Настройка состоит из следующих шагов:

Настройка пользовательского источника с помощью Kaspersky Update Utility:
1. Установка и настройка Kaspersky Update Utility на одном из компьютеров локальной сети организации.
2. Настройка копирования обновлений в папку общего доступа в параметрах Kaspersky Update Utility.
Настройка обновления репозитория KUMA из пользовательского источника.

Настройка пользовательского источника с помощью Kaspersky Update Utility:

Вы можете загрузить дистрибутив Kaspersky Update Utility с веб-сайта Службы технической поддержки "Лаборатории Касперского".

В Kaspersky Update Utility включите скачивание обновлений для KUMA версии 2.1:
- В разделе Программы - Контроль периметра установите флажок рядом с KUMA 2.1, чтобы включить возможность обновления.
- Если вы работаете с Kaspersky Update Utility через командную строку, в конфигурационном файле updater.ini в секции [ComponentSettings] добавьте следующую строку или укажите значение true для уже существующей строки:
  KasperskyUnifiedMonitoringAndAnalysisPlatform_3_4=true
В разделе Загрузки укажите источник обновлений. По умолчанию в качестве источника используются сервера обновления "Лаборатории Касперского".
В разделе Загрузки в группе параметров Папки для обновлений укажите папку общего доступа, в которую Kaspersky Update Utility будет загружать обновления. Доступны следующие варианты:
- Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Разверните HTTP-сервер, который будет отдавать обновления, и опубликуйте на нем эту локальную папку. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите URL к локальной папке, опубликованной на HTTP-сервере.
- Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Сделайте эту локальную папку доступной по сети. Примонтируйте доступную по сети локальную папку на хосте с KUMA. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите полный путь к этой локальной папке.

Подробную информацию о работе с Kaspersky Update Utility см. в Базе знаний "Лаборатории Касперского".

Экспорт ресурсов

Если для пользователя скрыты общие ресурсы, он не может экспортировать ни общие ресурсы, ни ресурсы, в которых используются общие ресурсы.

Чтобы экспортировать ресурсы:

В разделе Ресурсы нажмите Экспортировать ресурсы.
Откроется окно Экспортировать ресурсы с деревом всех доступных ресурсов.
В поле Пароль введите пароль, который необходимо использовать для защиты экспортируемых данных.
В раскрывающемся списке Тенант выберите тенант, ресурсы которого вы хотите экспортировать.
Установите флажки рядом с ресурсами, которые вы хотите экспортировать.
Если выбранные ресурсы связаны с другими ресурсами, эти ресурсы также будут экспортированы. В нижней части таблицы отображается количество выбранных ресурсов.
Нажмите на кнопку Экспортировать.

Текущие версии ресурсов в защищенном паролем файле сохранятся на вашем компьютере в зависимости от параметров вашего браузера. Предыдущие версии ресурсов не будут сохранены в файле. Ресурсы секретов экспортируются пустыми.

Чтобы экспортировать предыдущую версию ресурса:

В веб-интерфейсе KUMA в разделе Ресурсы выберите необходимый тип ресурсов.
Откроется окно с таблицей доступных ресурсов этого типа.

Если вы хотите просмотреть все ресурсы, в разделе Ресурсы перейдите на вкладку Список.
Установите флажок напротив ресурса, историю изменений которого вы хотите просмотреть, и нажмите на кнопку Показать историю версий в верхней части таблицы.
Откроется окно с историей версий ресурса.
Нажмите на строку версии ресурса, которую вы хотите экспортировать, и нажмите на кнопку Экспорт в нижней части открывшегося окна.
Вы можете экспортировать только предыдущую версию ресурса. Кнопка Экспорт не отображается при выборе текущей версии ресурса.

Версия ресурса сохранится в файле JSON на вашем компьютере в зависимости от параметров вашего браузера.

Импорт ресурсов

При работе с KUMA 3.4 рекомендуется использовать ресурсы из пакета [OOTB] KUMA 3.4 resources и ресурсы, опубликованные в репозитории после выхода этого пакета.

Чтобы импортировать ресурсы:

В разделе Ресурсы нажмите Импорт ресурсов.
Откроется окно Импорт ресурсов.
В раскрывающемся списке Тенант выберите тенанта, которому будут принадлежать импортируемые ресурсы.
В раскрывающемся списке Источник импорта выберите один из следующих вариантов:
- Файл
  При выборе этого варианта необходимо указать пароль и нажать на кнопку Импортировать.
- Репозиторий
  При выборе этого варианта отображается список доступных для импорта пакетов. Мы рекомендуем убедиться, что дата обновления репозитория относительно недавняя и при необходимости настроить автоматическое обновление.
  
  Вы можете выбрать один или несколько пакетов для импорта и нажать на кнопку Импортировать. Зависимые ресурсы Общего тенанта будут импортированы в Общий тенант, остальные ресурсы будут импортированы в выбранный тенант. Отдельных прав для учетной записи на Общий тенант не требуется, необходимо только наличие права на импорт в выбранном тенанте.
  
  Импортированные ресурсы с пометкой Этот ресурс входит в пакет. Его можно удалить, но он недоступен для редактирования. можно только удалить. Если вы хотите переименовать, изменить или переместить импортированный ресурс, вам следует сделать дубликат ресурса с помощью кнопки Дублировать и с дубликатом выполнить желаемые действия. При импорте следующих версий пакета дубликат не будет обновлен, поскольку он уже представляет собой отдельный объект.
  
  Импортированные ресурсы, расположенные в папке Integration, можно изменить. Подобные ресурсы имеют пометку Этот ресурс входит в пакет. К пакетному ресурсу, размещенному в папке Integration, допускается добавление Словаря с типом Таблица, добавление иных ресурсов не допускается. При импорте следующих версий пакета измененный ресурс не будет заменен на аналогичный ресурс из пакета, что позволит сохранить внесенные изменения.
Разрешите конфликты между импортированными из файла и существующими ресурсами, если они возникли. Подробнее о конфликтах ресурсов см. ниже.
1. Если имя, тип и guid импортированных ресурсов полностью совпадает с именем, типом и guid существующего ресурса, открывается окно Конфликты с таблицей, в которой отображаются тип и имя конфликтующих ресурсов. Разрешите отображаемые конфликты:
  - Если вы хотите заменить существующий ресурс новым, нажмите Заменить.
    Нажмите Заменить все, чтобы заменить все конфликтующие ресурсы.
  - Если вы хотите оставить существующий ресурс, нажмите Пропустить.
    Для зависимых ресурсов – то есть привязанных к другим ресурсам – недоступна опция Пропустить, зависимые ресурсы можно только Заменить.
    
    Нажмите Пропустить все, чтобы сохранить все существующие ресурсы.
2. Нажмите на кнопку Устранить.
Ресурсы импортируются в KUMA. Ресурсы секретов импортируются пустыми.

Импорт ресурсов, использующих расширенную схему событий

Если вы импортируете нормализатор, использующий одно или несколько полей расширенной схемы событий, в KUMA будет автоматически создано поле расширенной схемы, использующееся в нормализаторе.

Если вы импортируете другие типы ресурсов, использующих в своей логике поля расширенной схемы событий, ресурсы будут успешно импортированы. Для обеспечения работы импортированных ресурсов необходимо создать соответствующие поля расширенной схемы в разделе Параметры → Поля расширенной схемы событий или импортировать нормализатор, использующий необходимые поля.

Если в KUMA будет импортирован нормализатор, использующий поле расширенной схемы событий и такое поле уже существует в KUMA, будет использовано созданное ранее поле.

Если в KUMA будет импортирован нормализатор, использующий поле расширенной схемы событий, не соответствующее требованиям KUMA, импорт будет выполнен, но поле расширенной схемы событий будет создано со статусом Выключено и вы не сможете использовать это поле в других нормализаторах и ресурсах. Поле расширенной схемы событий не соответствует требованиям, например, если его имя содержит специальные символы или пробел. Если вы захотите использовать такое поле, не соответствующее требованиям, вам нужно исправить проблемы (например, изменить имя) и включить поле.

О разрешении конфликтов

Когда ресурсы импортируются в KUMA из файла, программа сравнивает их с существующими ресурсами, сверяя следующие параметры:

Имя и тип. Если имя и тип импортируемого ресурса совпадают с параметрами существующего ресурса, имя импортированного ресурса автоматически изменяется.
Идентификатор. Если идентификаторы двух ресурсов совпадают, возникает конфликт, который должен разрешить пользователь. Такая ситуация может возникнуть, когда вы импортируете ресурсы на тот же сервер KUMA, с которого они были экспортированы.

При разрешении конфликта вы можете либо заменить существующий ресурс импортированным, либо оставить существующий ресурс.

При этом в случае конфликта импортируемый ресурс будет добавлен в качестве новой версии существующего ресурса. К этой версии будет добавлен комментарий ресурс импортирован.

Некоторые ресурсы связаны между собой: например, в некоторых типах коннекторов обязательно нужно указывать секрет коннектора. Секреты также импортируются, если они привязаны к коннектору. Такие связанные ресурсы экспортируются и импортируются вместе.

Особенности импорта:

Ресурсы импортируются в выбранный тенант.
Если связанный ресурс находился в Общем тенанте, при импорте он снова будет в Общем тенанте.
В окне Конфликты в столбце Родительский объект всегда отображается самый верхний родительский ресурс из выбранных при импорте.
Если во время импорта возникает конфликт, и вы выбираете замену существующего ресурса новым, все связанные с ним ресурсы также будут автоматически заменены импортированными ресурсами.

Известные ошибки:

Привязанный ресурс попадает в тенант, указанный при импорте, а не в Общий тенант, как указано в окне Конфликты, при следующих условиях:
1. Привязанный ресурс изначально находится в Общем тенанте.
2. В окне Конфликты вы выбираете Пропустить для всех родительских объектов привязанного ресурса из Общего тенанта.
3. Привязанный ресурс из Общего тенанта оставляете для замены.
После выполнения импорта в фильтре у категорий не указан тенант при следующих условиях:
1. Фильтр содержит привязанные категории активов из разных тенантов.
2. Имена категорий активов одинаковы.
3. Вы импортируете этот фильтр с привязанными категориями активов на новый сервер.
В Тенант 1 дублируется имя категории активов при следующих условиях:
1. В Тенант 1 у вас есть фильтр с привязанными категориями активов из Тенант 1 и Общего тенанта.
2. Имена привязанных категорий активов одинаковы.
3. Вы импортируете такой фильтр из Тенант 1 в Общий тенант.
Невозможно импортировать конфликтующие ресурсы в один тенант.
Ошибка Невозможно импортировать конфликтующие ресурсы в один тенант означает, что в импортируемом пакете есть конфликтующие ресурсы из разных тенантов и их нельзя импортировать в Общий тенант.

Решение: Выберите для импорта пакета другой тенант, не Общий. Тогда при импорте ресурсы, изначально расположенные в Общем тенанте, будут импортированы в Общий тенант, а ресурсы из другого тенанта — в выбранный при импорте тенант.
Только главный администратор может импортировать категории в Общий тенант.
Ошибка Только главный администратор может импортировать категории в Общий тенант означает, что в импортируемом пакете есть ресурсы с привязанными общими категориями активов. Категории или ресурсы с привязанными общими категориями активов можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:

/opt/kaspersky/kuma/core/log/core

Решение. Выберите один из следующих вариантов:
- Уберите из импорта ресурсы, к которым привязаны общие категории: снимите флажок рядом с соответствующими ресурсами.
- Выполните импорт под учетной записью пользователя с правами Главного администратора.
Только главный администратор может импортировать ресурсы в Общий тенант.
Ошибка Только главный администратор может импортировать ресурсы в Общий тенант означает, что в импортируемом пакете есть ресурсы с привязанными общими ресурсами. Ресурсы с привязанными общими ресурсами можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:

/opt/kaspersky/kuma/core/log/core

Решение. Выберите один из следующих вариантов:
- Уберите из импорта ресурсы, к которым привязаны ресурсы из Общего тенанта, и сами общие ресурсы: снимите флажок рядом с соответствующими ресурсами.
- Выполните импорт под учетной записью пользователя с правами Главного администратора.

Поиск ресурсов

Вы можете искать ресурсы по названию или тегам. Вы также можете искать ресурсы по всем их полям с помощью полнотекстового поиска. Для типа ресурсов Правила корреляции доступен полнотекстовый поиск по корреляторам, в которых правила используются. При поиске по фильтру будут найдены все ресурсы, которые его используют.

Поиск осуществляется только по последней версии ресурсов.

Чтобы найти нужные ресурсы:

В веб-интерфейсе KUMA в разделе Ресурсы выберите необходимый тип ресурсов.
Откроется окно с таблицей доступных ресурсов этого типа.

Если вы хотите просмотреть все ресурсы, в разделе Ресурсы перейдите на вкладку Список.
При необходимости, чтобы переключить режим поиска, нажмите на значок таблицы в верхней части таблицы ресурсов.
Доступны поиск по названию, тегам и полнотекстовый поиск по всем полям ресурса. По умолчанию активен поиск по названию, тегам и корреляторам (только для правил корреляции).

Вы можете определить, какой режим поиска активен, по тексту, который отображается в поле поиска по умолчанию.
В поле Поиск начните вводить текст поиска.
Поиск инициируется во время ввода символов в поле и не чувствителен к регистру. В таблице отображаются только те ресурсы, которые удовлетворяют условиям поиска, и в нижней части таблицы отображается количество таких ресурсов.

Для полнотекстового поиска результаты отсортированы по количеству слов в поисковой строке, найденных в полях ресурса, от большего к меньшему. KUMA выполняет поиск по JSON ресурса, если в нем указан другой ресурс, выполняет поиск по указанному ресурсу тоже. Если ресурс ссылается на другие ресурсы, KUMA также переходит в эти ресурсы и ищет по их содержимому.
Если вы хотите сбросить результат поиска, очистите поле Поиск или нажмите на значок .

Управление тегами

Для работы с ресурсами в веб-интерфейсе KUMA предусмотрена возможность добавлять теги для ресурсов, что позволяет вам осуществлять поиск нужного компонента, а также управлять тегами, отвязывать или привязывать теги.

Невозможно добавлять теги в ресурсы, которые создаются из интерфейса других ресурсов. Теги можно добавлять только из карточки самого ресурса. Также невозможно добавлять теги к ресурсу, недоступному для редактирования.

Управление тегами

Список тегов отображается в разделе Параметры → Теги и представлен в виде таблицы со следующими столбцами: Название, Тенант, Использовано в ресурсах.

В таблице Теги вы можете выполнять следующие действия:

Сортировать теги по полям Название, Использовано в ресурсах.
Фильтровать значения поля Тенант.
Осуществлять поиск тега по полю Название.
Переходить к списку ресурсов по выбранному тегу.

Добавление тега

Чтобы добавить тег:

Перейдите в раздел Ресурсы и выберите нужный ресурс.
В панели над таблицей нажмите Добавить.
В поле Теги выбранного ресурса добавьте новый тег или выберите тег из списка.
Нажмите Создать.

Новый тег будет добавлен.

Вы также можете добавлять теги из уже существующих.

При добавлении тега следует учитывать следующие особенности:

Вы можете добавить несколько тегов.
Тег может содержать буквы различных алфавитов (например, символы кириллицы, латиницы или греческого алфавита), цифры, знак нижнего подчеркивания и пробел.
Тег не может содержать другие специальные символы, кроме нижнего подчеркивания и пробела.
Вы можете вводить тег в любом регистре, но после сохранения тег будет всегда отображаться в нижнем регистре.
Тег наследует тенант ресурса, в котором используется.
Тег является частью ресурса и существует, пока существует ресурс, в котором тег был создан или используется.
Теги уникальны в рамках тенанта.
Теги импортируются или экспортируются вместе с ресурсом как часть ресурса.

Поиск по тегам

В разделе Ресурсы вы можете осуществить поиск ресурсов

По тегам.
По наименованию ресурсов.

Поиск осуществляется по всем типам ресурсов и сервисов.

В результате поиска отображается список ресурсов и сервисов.

Чтобы найти нужные ресурсы по тегам:

Перейдите в раздел Ресурсы и выберите нужный ресурс.
В таблице ресурса выберите столбец Теги.
В появившемся поле Поиск введите или выберите название тега.
Поиск по тегу в самом ресурсе и в списке ресурсов осуществляется как при полном, так и частичном совпадении введенного текста с названием тега.

Отображается список ресурсов, если в этих ресурсах используется указанный тег.

В списке ресурсов вы можете выполнять следующие действия:

Сортировать список по наименованию, типу ресурса или сервиса.
Фильтровать ресурсы или сервисы по типу ресурса или сервиса, тегу.
Привязать и/или отвязать теги.

Отображение тегов при добавлении зависимых ресурсов

При добавлении зависимого ресурса в выпадающем списке отображаются теги этого ресурса в разделе Параметры фильтра.

Теги ресурса, которые не вмещаются в одну строку, скрываются. О скрытых имеющихся тегах говорит специальный признак.

Фильтрация выпадающего списка осуществляется по наименованию ресурса и его тегам.

Привязка и отвязка тегов

Чтобы привязать теги к ресурсу или отвязать теги от ресурса:

Перейдите в раздел Ресурсы.
Выберите вкладку Список.
В столбце Название установите флажки рядом с необходимыми ресурсами.
В панели над списком выберите вкладку Теги.
Нажмите на кнопку Привязать или Отвязать, выберите необходимые теги или создайте новый тег.

Выбранные теги будут привязаны к ресурсам или отвязаны от него.

Вы также можете привязать или отвязать теги в карточке ресурса.

Трассировка использования ресурсов

Для устойчивой работы KUMA важно понимать, как одни ресурсы влияют на работоспособность других ресурсов, какие связи есть между ресурсами и другими объектами KUMA. Эти взаимозависимости вы можете отобразить визуально на интерактивном графе в веб-интерфейсе KUMA.

Отображение связей ресурса на графе

Чтобы отобразить связи выбранного ресурса:

В веб-консоли KUMA в разделе Ресурсы выберите тип ресурса.
Отобразится список ресурсов выбранного типа.
Выберите необходимый ресурс.
Кнопка Показать зависимости, расположенная в панели над списком ресурсов, станет активной. Если у вас недостаточно широкий экран, кнопка может быть скрыта под значком .
Нажмите на кнопку Показать зависимости.
Откроется окно графа зависимостей для выбранного ресурса. Если у вас нет прав на просмотр ресурса, то на графе он будет помечен иконкой (недоступный ресурс). При необходимости окно графа можно закрыть, чтобы вернуться к списку ресурсов.

Граф зависимостей ресурсов

На графе отображаются все связи, которые формируются на основе универсального уникального идентификатора (UUID) ресурсов, используемых в конфигурации ресурса, выбранного для отображения, а также связи ресурсов, которые имеют UUID выбранного ресурса в своей конфигурации. Связи "вниз", то есть ресурсы, на которые ссылается (использует) выбранный ресурс, показываются до последнего уровня, а связи "вверх", то есть ресурсы, которые ссылаются на выбранный ресурс – только на один уровень.

На графе вы можете посмотреть зависимости следующих ресурсов:

правила корреляции;
правила агрегации;
правила обогащения;
правила реагирования;
правила data mining;
нормализаторы;
коннекторы;
точки назначения;
фильтры;
шаблоны уведомлений;
активные листы;
словари;
прокси-серверы;
секреты;
контекстные таблицы;
коллекторы;
Особенность отображения связей: если для отображения связей был выбран, первично, коллектор, то связи "вверх" показываться не будут.
корреляторы;
хранилища;
агенты (автоагенты);
Особенность отображения связей: если выбран агент для отображения связей, то коллектор будет показан с типом связи linked, только если коллектор запущен как сервис и в агенте коллектор корректно (fqdn+port) указан в точке назначения.
маршрутизаторы событий;
Особенность отображения связей: если для отображения связей был выбран, первично, маршрутизатор событий, то связи "вверх" показываться не будут.
интеграции;
Название интеграции соответствует названию вкладки в разделе Интеграции.
группа ресурсов;
Число перед скобками указывает на количество отображенных на графе ресурсов из группы, число в скобках указывает на общее количество ресурсов в группе.
недоступный ресурс (при отсутствии прав на просмотр).

При нажатии на узел ресурса вы можете посмотреть следующие данные о ресурсе:

Имя
Содержит ссылку на ресурс, при нажатии на ссылку этот ресурс открывается в отдельной вкладке, окно графа не закрывается.
Тип
Путь
Путь ресурса без ссылки.
Теги
Тенант
Название пакета

Вы можете открыть контекстное меню ресурса и выполнить следующие действия:

Показать связи ресурса.
Отобразятся зависимости выбранного ресурса.
Скрыть ресурс на графе.
Скрывается выбранный ресурс. Ресурсы уровня ниже, на которые ссылается выбранный ресурс, помечаются "*", как имеющие скрытые связи. Ресурсы, которые ссылаются на скрываемый ресурс, помечаются значком , как имеющие скрытые связи. При этом граф разрывается.
Скрыть связи "вниз" у этого ресурса на графе.
Выбранный ресурс остается. Скрываются только те ресурсы нижнего уровня, у которых нет больше связей первого верхнего уровня на графе. Ресурсы, на которые ссылались ресурсы первого (скрываемого) уровня, помечаются "*", как имеющие скрытые связи.
Скрыть все ресурсы этого типа на графе.
Скрываются все ресурсы выбранного типа. Эта операция применяется для каждого ресурса выбранного типа.
Обновить связи ресурса.
Вы можете обновить состояние ресурса, если ресурс был изменен другим пользователем во время работы с графом. Отображается изменение только видимых связей.
Сгруппировать.
Если на экране нет узла группы: узел группы появляется на экране, ресурсы c типом выбранного ресурса, а также ресурсы, ссылающиеся на один ресурс, скрываются. Ребра перерисовываются от группы. Кнопка Сгруппировать доступна, только когда есть более 10 однотипных ссылок на ресурс.

Если на экране есть узел группы: ресурс скрывается и добавляется в группу, ребра перерисуются от группы.

На графе отображаются несколько типов связи:

Сплошная линия без надписи.
Показывает прямую связь по UUID, в том числе использование секретов и прокси в интеграциях.
Линия с надписью <имя_функции>.
Показывает использование активного листа в корреляционном правиле.
Пунктирная линия надписью linked.
Показывает связь по URL, например, точки назначения с коллектором, или точки назначения с хранилищем.

Ресурсы, созданные инлайн, показываются на графе пунктирной линией с типом linked.

Не рекомендуется строить большие графы зависимостей. Рекомендуемое число узлов – до 100.

При открытии графа выбранный для просмотра ресурс будет некоторое время подсвечен мигающим кругом, так чтобы отличаться от остальных ресурсов графически и фокус внимания был именно на нем.

На графе вы можете посмотреть карту графа, чтобы понимать, в какой части графа вы находитесь. Вы можете воспользоваться селектором и передвигать его для отображения нужной части графа.

По кнопке Упорядочить вы можете улучшить отображение ресурсов на графе.

При выборе опции Отобразить связи фокус на графе не меняется, а ресурсы отображаются так, чтобы не пришлось возвращаться в начальное место.

При выборе на графе узла группы появляется боковая панель, в которой вы можете скрыть или отобразить ресурсы, входящие в группу. Для этого установите флажок рядом с нужным ресурсом и нажмите на кнопку Отобразить на графе или Скрыть на графе.

Граф сохраняет свое состояние, если пользователь отобразил что-то на графе, затем перешел в редактирование ресурса и снова открыл вкладку с графом.

Ранее отображенные ресурсы на графе остаются на своих местах при добавлении новых ресурсов на граф.

При закрытии графа все изменения сбрасываются.

После того, как связи ресурсов отрисованы на графе, вы можете осуществлять поиск узла:

по имени;
по тегу;
по пути;
по пакету.

Узлы, в том числе и группы, попадающие под критерий отбора, выделяются визуально – желтым кругом.

На графе вы можете использовать фильтр по типам ресурсов:

Скрывать или отображать ресурсы определенного типа.
Скрывать ресурсы нескольких типов. Отображать все типы ресурсов.

При закрытом окне фильтра можно увидеть выбранные фильтры по индикатору – красной точке в панели инструментов.

Ваши действия при работе с графом сохраняются в память (последние 50 действий), изменения можно отменить с помощью комбинации клавиш CTRL/COMMAND + Z.

Отображаемый граф можно сохранять в файл в формате SVG. В файле сохранится видимая часть графа.

Восстановление версии ресурса

Версионирование ресурсов

KUMA хранит историю изменения ресурсов в виде версий. Версия ресурса создается автоматически, когда вы создаете новый ресурс или сохраняете изменения параметров в существующем ресурсе.

История изменений недоступна для ресурса Словари. Для хранения истории изменения словарей вы можете экспортировать данные.

Версии ресурсов хранятся в течение срока, указанного в разделе Параметры. Когда срок хранения версии ресурса достигает указанного значения, версия удаляется автоматически.

Вы можете просматривать историю изменений ресурсов KUMA, сравнивать версии, а также восстановить предыдущую версию ресурса, например, если необходимо восстановить его работоспособность.

Чтобы просмотреть историю изменений ресурса:

В веб-интерфейсе KUMA в разделе Ресурсы выберите необходимый тип ресурсов.
Откроется окно с таблицей доступных ресурсов этого типа.

Если вы хотите просмотреть все ресурсы, в разделе Ресурсы перейдите на вкладку Список.
Установите флажок напротив ресурса, историю изменений которого вы хотите просмотреть, и нажмите на кнопку Показать историю версий в верхней части таблицы.

Откроется окно с таблицей сохраненных версий для выбранного ресурса. Для новых ресурсов существует только одна текущая версия.

Для каждой версии в таблице отображается следующая информация:

Версия – порядковый номер версии ресурса. При сохранении изменений в ресурсе и создании новой версии порядковый номер увеличивается на 1.
Версия с наибольшим номером и недавней датой публикации отражает актуальное состояние ресурса. Версия 1 отражает состояние ресурса при его создании.
Опубликовано – дата и время, когда версия ресурса была создана.
Автор – логин пользователя, сохранившего изменения ресурса.
Если изменения были сделаны системой или с помощью скрипта миграции, отображается system.
Комментарий – текстовый комментарий, указанный автором при сохранении изменений, или системный комментарий, описывающий сделанные изменения.
Срок хранения – количество дней и дата, после которых версия ресурса будет удалена.
При необходимости вы можете настроить срок хранения для версий ресурсов.
Действия – кнопка восстановления версии ресурса.

Вы можете отсортировать таблицу версий ресурса по столбцам Версия, Опубликовано и Автор, нажав на заголовок и выбрав По возрастанию или По убыванию. Вы также можете отобразить в таблице изменения, сделанные только конкретным автором или авторами, нажав на заголовок столбца Автор и выбрав нужных авторов.

Если вы хотите просмотреть состояние ресурса в конкретной версии, вам нужно нажать на эту версию в таблице. Откроется окно с ресурсом этой версии, в котором вы можете выполнять следующие действия:

просмотреть параметры, указанные в этой версии ресурса;
восстановить эту версию ресурса, нажав на кнопку Восстановить;
экспортировать эту версию ресурса в JSON-файл, нажав на кнопку Экспорт.

В этом разделе

Сравнение версий ресурса

Настройка срока хранения версий ресурсов

Сравнение версий ресурса

Вы можете сравнивать любые две версии ресурса, например, если вам нужно отслеживать внесенные изменения.

Чтобы сравнить версии ресурса:

В веб-интерфейсе KUMA в разделе Ресурсы выберите необходимый тип ресурсов.
Откроется окно с таблицей доступных ресурсов этого типа.

Если вы хотите просмотреть все ресурсы, в разделе Ресурсы перейдите на вкладку Список.
Установите флажок напротив нужного ресурса и нажмите на кнопку Показать историю версий в верхней части таблицы.
Откроется окно с историей версий ресурса.
Установите флажки напротив двух версий ресурса, которые вы хотите сравнить, и нажмите на кнопку Сравнить в верхней части таблицы.

Отобразится окно сравнения версий ресурса. Поля ресурсов отобразятся в виде списка или в формате JSON. Различия между двумя версиями будут выделены цветом. Вы можете выбрать другие версии для сравнения с помощью раскрывающихся списков над полями ресурсов.

Восстановление версии ресурса

Вы можете восстановить предыдущую версию ресурса, например, если вам нужно восстановить работоспособность ресурса в случае ошибок при внесении изменений.

Версии автоматически созданных агентов невозможно восстановить отдельно, так как они создаются при изменении родительского коллектора. Если вы хотите восстановить версию автоматически созданного агента, вам нужно восстановить соответствующую версию родительского коллектора.

Чтобы восстановить предыдущую версию ресурса:

В веб-интерфейсе KUMA в разделе Ресурсы выберите необходимый тип ресурсов.
Откроется окно с таблицей доступных ресурсов этого типа.

Если вы хотите просмотреть все ресурсы, в разделе Ресурсы перейдите на вкладку Список.
Установите флажок напротив нужного ресурса и нажмите на кнопку Показать историю версий в верхней части таблицы.
Откроется окно с историей версий ресурса.
В строке нужной версии в столбце Действие нажмите на кнопку Восстановить.
Вы также можете восстановить версию, нажав на строку этой версии и нажав на кнопку Восстановить в нижней части окна.

Вы можете восстановить только предыдущие версии ресурса; для текущей версии кнопка Восстановить недоступна.

Если после обновления KUMA изменилась структура ресурса, восстановление его сохраненных версий может быть недоступно.
Подтвердите действие и при необходимости укажите комментарий. Если вы не укажете комментарий, к версии автоматически будет добавлен комментарий Восстановлена из версии v.<номер восстанавливаемой версии>.

Версия ресурса будет восстановлена как новая версия и станет текущей.

Если ресурс, версию которого вы восстановили, добавлен в активный сервис, состояние сервиса также изменится. Необходимо перезагрузить сервис, чтобы применить изменение ресурса.

Настройка срока хранения версий ресурсов

Вы можете изменить срок хранения версий ресурсов в веб-интерфейсе KUMA в разделе Параметры → Общие, изменив значение параметра Срок хранения истории ресурсов, дни.

По умолчанию установлено значение 30 дней. Если вы хотите хранить все версии ресурсов без ограничений по сроку, вы можете использовать значение 0 (бессрочное хранение).

Только пользователь с ролью Главный администратор может просматривать и изменять срок хранения версий ресурсов.

Срок хранения версий ресурсов проверяется ежедневно, и версии ресурсов, которые хранятся в KUMA дольше указанного срока, удаляются автоматически. В диспетчере задач будет создана задача Очистка истории изменений ресурсов на проверку срока хранения версий ресурсов и удаление старых версий. Эта задача также запускается после перезапуска компонента Ядро.

Вы можете проверить время, оставшееся до удаления версии ресурса, в таблице версий в столбце Срок хранения.

Точка назначения, тип internal

Точки назначения

Точки назначения задают сетевые параметры для передачи нормализованных событий. Точки назначения используются в коллекторах и корреляторах для описания того, куда передавать обработанные события. Как правило, в роли точек назначения выступают коррелятор и хранилище.

Вы можете указать параметры точек назначения на вкладках Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа точки назначения.

Существуют следующие типы точек назначения:

internal – используются для приема данных от сервисов KUMA по протоколу internal.
nats-jetstream – используются для коммуникации через NATS.
tcp – используются для связи по протоколу TCP.
http – используются для связи по протоколу HTTP.
diode – используются для передачи событий с помощью диода данных.
kafka – используются для коммуникаций с помощью kafka.
file – используются для записи в файл.
storage – используются для передачи данных в хранилище.
correlator – используются для передачи данных в коррелятор.
eventRouter – используются для передачи событий в маршрутизатор событий.

В этом разделе

Точка назначения, тип nats-jetstream

Точка назначения, тип tcp

Точка назначения, тип http

Точка назначения, тип diode

Точка назначения, тип kafka

Точка назначения, тип file

Точка назначения, тип storage

Точка назначения, тип correlator

Точка назначения, тип eventRouter

Предустановленные точки назначения

Точка назначения, тип internal

Точки назначения с типом internal используются для приема данных от сервисов KUMA по протоколу internal. Вы можете передавать следующие данные по протоколу internal:

Внутренние данные, такие как маршруты событий.
Файловые атрибуты. Если при создании коллектора на шаге Транспорт мастера установки вы указали коннектор с типом file, 1c-xml или 1c-log, на шаге Парсинг событий в таблице Сопоставление вы можете передать в поле события KUMA название обрабатываемого коллектором файла или путь к файлу. Для этого в столбце Исходные данные укажите одно из следующих значений:
- $kuma_fileSourceName – передать в поле события KUMA название обрабатываемого коллектором файла.
- $kuma_fileSourcePath – передать в поле события KUMA путь к обрабатываемому коллектором файлу.
Когда вы используете коннектор с типом file, 1c-xml или 1c-log, новые переменные в нормализаторе будут работать только с точками назначения с типом internal.
События в маршрутизатор событий. Маршрутизатор событий может принимать события только по протоколу internal, поэтому при отправке событий в маршрутизатор событий вы можете использовать только точки назначения с типом internal.

Доступные параметры точки назначения с типом internal описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Состояние	Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
Тип	Тип точки назначения – internal. Обязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Интервал очистки буфера	Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
Размер дискового буфера	Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Выходной формат	Формат, в котором события отправляются во внешний источник: JSON. CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
Прокси-сервер	Прокси-сервер для точки назначения. Вы можете выбрать существующий прокси-сервер или создать новый прокси-сервер. Для создания нового прокси-сервера выберите Создать. Если вы хотите изменить параметры существующего прокси-сервера, нажмите рядом с ним на значок карандаша .
Политика выбора URL	Способ определения URL-адресов, на которые события отправляются в первую очередь, если вы добавили несколько URL-адресов в поле URL на вкладке Основные параметры: Любой – события отправляются на случайно выбранный доступный URL-адрес до тех пор, пока URL-адрес принимает события. Если URL-адрес станет недоступным, события будут отправляться на другой случайно выбранный доступный URL-адрес. Это значение выбрано по умолчанию. Сначала первый – события отправляются на первый добавленный URL-адрес. Если URL-адрес станет недоступным, события будут отправляться на следующий добавленный доступный URL-адрес. Если первый добавленный URL-адрес снова станет доступным, события будут отправляться на него. Сбалансированный – события равномерно распределяются между доступными URL-адресами. Этот способ определения URL-адресов не гарантирует равномерного распределения событий по URL-адресам, так как буфер может быть переполнен или события могут быть отправлены в точку назначения. Вы можете указать размер буфера в байтах в поле Размер буфера, а также указать интервал в секундах для отправки событий в точку назначения в поле Интервал очистки буфера.
Ожидание проверки работоспособности	Интервал в секундах для проверки работоспособности точки назначения.
Дисковый буфер	Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен. Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
Время ожидания	Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Фильтр	Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Точка назначения, тип nats-jetstream

Точки назначения с типом nats-jetstream используются для коммуникации через NATS. Доступные параметры точки назначения с типом nats-jetstream описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Состояние	Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
Тип	Тип точки назначения – nats-jetstream. Обязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Тема	Тема сообщений NATS. Символы вводятся в кодировке Unicode. Обязательный параметр.
Авторизация	Тип авторизации при подключении к URL-адресу, указанному в поле URL: Выключена. Это значение выбрано по умолчанию. Обычная. При выборе этого значения в раскрывающемся списке Секрет укажите секрет, содержащий данные учетной записи пользователя для авторизации при подключении к точке назначения. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Интервал очистки буфера	Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
Размер дискового буфера	Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Выходной формат	Формат, в котором события отправляются во внешний источник: JSON. CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates. Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в будущих версиях KUMA. Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать сертификат, подписанный центром сертификации? Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL). Чтобы создать сертификат, подписанный центром сертификации: Создайте ключ, который будет использоваться центром сертификации, например: `openssl genrsa -out ca.key 2048` Создайте сертификат для созданного ключа, например: `openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt` Создайте приватный ключ и запрос на его подписание в центре сертификации, например: `openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr` Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную `subjectAltName` доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например: `openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt` Загрузите созданный сертификат `server.crt` в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate. Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку `x509: certificate signed by unknown authority`. Нестандартный PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать PFX-секрет? Чтобы создать PFX-секрет: В поле Название введите название PFX-секрета. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата. Нажмите на кнопку Создать. PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет. Режим Нестандартный PFX не отображается, если для параметра Авторизация выбрано значение Обычная.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
Дисковый буфер	Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен. Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
Время ожидания	Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Фильтр	Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Точка назначения, тип tcp

Точки назначения с типом tcp используются для связи по протоколу TCP. Доступные параметры точки назначения с типом tcp описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Состояние	Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
Тип	Тип точки назначения – tcp. Обязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Интервал очистки буфера	Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
Размер дискового буфера	Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Выходной формат	Формат, в котором события отправляются во внешний источник: JSON. CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates. Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в будущих версиях KUMA.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.
Политика выбора URL	Способ определения URL-адресов, на которые события отправляются в первую очередь, если вы добавили несколько URL-адресов в поле URL на вкладке Основные параметры: Любой – события отправляются на случайно выбранный доступный URL-адрес до тех пор, пока URL-адрес принимает события. Если URL-адрес станет недоступным, события будут отправляться на другой случайно выбранный доступный URL-адрес. Это значение выбрано по умолчанию. Сначала первый – события отправляются на первый добавленный URL-адрес. Если URL-адрес станет недоступным, события будут отправляться на следующий добавленный доступный URL-адрес. Если первый добавленный URL-адрес снова станет доступным, события будут отправляться на него. Сбалансированный – события равномерно распределяются между доступными URL-адресами. Этот способ определения URL-адресов не гарантирует равномерного распределения событий по URL-адресам, так как буфер может быть переполнен или события могут быть отправлены в точку назначения. Вы можете указать размер буфера в байтах в поле Размер буфера, а также указать интервал в секундах для отправки событий в точку назначения в поле Интервал очистки буфера.
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
Дисковый буфер	Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен. Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
Время ожидания	Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Фильтр	Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Точка назначения, тип http

Точки назначения с типом http используются для связи по протоколу HTTP. Доступные параметры точки назначения с типом http описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Состояние	Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
Тип	Тип точки назначения – http. Обязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Авторизация	Тип авторизации при подключении к URL-адресу, указанному в поле URL: Выключена. Это значение выбрано по умолчанию. Обычная. При выборе этого значения в раскрывающемся списке Секрет укажите секрет, содержащий данные учетной записи пользователя для авторизации при подключении к точке назначения. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Интервал очистки буфера	Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
Размер дискового буфера	Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Выходной формат	Формат, в котором события отправляются во внешний источник: JSON. CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates. Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в будущих версиях KUMA. Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать сертификат, подписанный центром сертификации? Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL). Чтобы создать сертификат, подписанный центром сертификации: Создайте ключ, который будет использоваться центром сертификации, например: `openssl genrsa -out ca.key 2048` Создайте сертификат для созданного ключа, например: `openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt` Создайте приватный ключ и запрос на его подписание в центре сертификации, например: `openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr` Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную `subjectAltName` доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например: `openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt` Загрузите созданный сертификат `server.crt` в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate. Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку `x509: certificate signed by unknown authority`. Нестандартный PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать PFX-секрет? Чтобы создать PFX-секрет: В поле Название введите название PFX-секрета. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата. Нажмите на кнопку Создать. PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет. Режим Нестандартный PFX не отображается, если для параметра Авторизация выбрано значение Обычная.
Прокси-сервер	Прокси-сервер для точки назначения. Вы можете выбрать существующий прокси-сервер или создать новый прокси-сервер. Для создания нового прокси-сервера выберите Создать. Если вы хотите изменить параметры существующего прокси-сервера, нажмите рядом с ним на значок карандаша .
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.
Политика выбора URL	Способ определения URL-адресов, на которые события отправляются в первую очередь, если вы добавили несколько URL-адресов в поле URL на вкладке Основные параметры: Любой – события отправляются на случайно выбранный доступный URL-адрес до тех пор, пока URL-адрес принимает события. Если URL-адрес станет недоступным, события будут отправляться на другой случайно выбранный доступный URL-адрес. Это значение выбрано по умолчанию. Сначала первый – события отправляются на первый добавленный URL-адрес. Если URL-адрес станет недоступным, события будут отправляться на следующий добавленный доступный URL-адрес. Если первый добавленный URL-адрес снова станет доступным, события будут отправляться на него. Сбалансированный – события равномерно распределяются между доступными URL-адресами. Этот способ определения URL-адресов не гарантирует равномерного распределения событий по URL-адресам, так как буфер может быть переполнен или события могут быть отправлены в точку назначения. Вы можете указать размер буфера в байтах в поле Размер буфера, а также указать интервал в секундах для отправки событий в точку назначения в поле Интервал очистки буфера.
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
Путь	Путь, который требуется добавить в запрос к URL-адресу, указанному в поле URL на вкладке Основные параметры. Например, если вы укажете путь `/input`, а в качестве URL-адреса укажете `10.10.10.10`, от точки назначения будут исходить запросы `10.10.10.10/input`.
Путь проверки работоспособности	URL-адрес для отправки запросов для получения данных о работоспособности системы, с которой ресурс точки назначения устанавливает связь.
Проверка работоспособности	Переключатель, включающий проверку работоспособности. По умолчанию этот переключатель выключен.
Дисковый буфер	Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен. Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
Время ожидания	Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Фильтр	Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Точка назначения, тип diode

Точки назначения с типом diode используются для передачи событий с помощью диода данных. Доступные параметры точки назначения с типом diode описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Состояние	Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
Тип	Тип точки назначения – diode. Обязательный параметр.
Директория, из которой диод данных получает события	Путь к директории, из которой диод данных перемещает события. Максимальная длина пути составляет до 255 символов в кодировке Unicode. Ограничения при использовании префиксов к путям на серверах Windows На серверах Windows необходимо указывать абсолютные пути к директориям. Невозможно использовать директории, названия которых соответствуют указанным ниже регулярным выражениям: `^[a-zA-Z]:\\Program Files` `^[a-zA-Z]:\\Program Files $x86$` `^[a-zA-Z]:\\Windows` `^[a-zA-Z]:\\ProgramData\\Kaspersky Lab\\KUMA` Ограничения при использовании префиксов к путям на серверах Linux Префиксы, которые невозможно использовать при указании путей к файлам: `/` `/bin` `/boot` `/dev` `/etc` `/home` `/lib` `/lib64` `/proc` `/root` `/run` `/sys` `/tmp` `/usr/` `/usr/bin/` `/usr/local/` `/usr/local/sbin/` `/usr/local/bin/` `/usr/sbin/` `/usr/lib/` `/usr/lib64/` `/var/` `/var/lib/` `/var/run/` `/opt/kaspersky/kuma/` Файлы по указанным ниже путям доступны: `/opt/kaspersky/kuma/clickhouse/logs/` `/opt/kaspersky/kuma/mongodb/log/` `/opt/kaspersky/kuma/victoria-metrics/log/` Пути, указанные в полях Директория, из которой диод данных получает события и Временная директория, не должны совпадать.
Временная директория	Путь к директории, в которой события готовятся для передачи диоду данных. Максимальная длина пути составляет до 255 символов в кодировке Unicode. События собираются в файл по истечении времени ожидания или при переполнении буфера. По умолчанию время ожидания составляет 10 секунд. Подготовленный файл с событиями перемещается в директорию, указанную в поле Директория, из которой диод данных получает события. В качестве названия файла с событиями используется хеш-сумма (SHA-256) содержимого файла с событиями. Пути, указанные в полях Директория, из которой диод данных получает события и Временная директория, не должны совпадать.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Интервал очистки буфера	Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Фильтр	Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Точка назначения, тип kafka

Точки назначения с типом kafka используются для коммуникаций с помощью kafka. Доступные параметры точки назначения с типом kafka описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Состояние	Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
Тип	Тип точки назначения – kafka. Обязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Топик	Тема сообщений Kafka. Максимальная длина темы составляет до 255 символов. Вы можете использовать следующие символы: a–z, A–Z, 0–9, ".", "_", "-". Обязательный параметр.
Авторизация	Тип авторизации при подключении к URL-адресу, указанному в поле URL: Выключена. Это значение выбрано по умолчанию. Обычная. При выборе этого значения в раскрывающемся списке Секрет укажите секрет, содержащий данные учетной записи пользователя для авторизации при подключении к точке назначения. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет. PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать PFX-сертификат из хранилища, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать PFX-секрет? Чтобы создать PFX-секрет: В поле Название введите название PFX-секрета. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата. Нажмите на кнопку Создать. PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Интервал очистки буфера	Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
Размер дискового буфера	Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Выходной формат	Формат, в котором события отправляются во внешний источник: JSON. CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates. Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в будущих версиях KUMA. Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать сертификат, подписанный центром сертификации? Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL). Чтобы создать сертификат, подписанный центром сертификации: Создайте ключ, который будет использоваться центром сертификации, например: `openssl genrsa -out ca.key 2048` Создайте сертификат для созданного ключа, например: `openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt` Создайте приватный ключ и запрос на его подписание в центре сертификации, например: `openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr` Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную `subjectAltName` доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например: `openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt` Загрузите созданный сертификат `server.crt` в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate. Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку `x509: certificate signed by unknown authority`.
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
Дисковый буфер	Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен. Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
Время ожидания	Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Фильтр	Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Точка назначения, тип file

Точки назначения с типом file используются для записи в файл. Доступные параметры точки назначения с типом file описаны в таблицах ниже.

При удалении точки назначения с типом file, используемой в сервисе, вам нужно перезапустить сервис.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Состояние	Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
Тип	Тип точки назначения – file. Обязательный параметр.
URL	Путь к файлу, в который требуется записать события. Ограничения при использовании префиксов к путям файлов Префиксы, которые невозможно использовать при указании путей к файлам: `/` `/bin` `/boot` `/dev` `/etc` `/home` `/lib` `/lib64` `/proc` `/root` `/run` `/sys` `/tmp` `/usr/` `/usr/bin/` `/usr/local/` `/usr/local/sbin/` `/usr/local/bin/` `/usr/sbin/` `/usr/lib/` `/usr/lib64/` `/var/` `/var/lib/` `/var/run/` `/opt/kaspersky/kuma/` Файлы по указанным ниже путям доступны: `/opt/kaspersky/kuma/clickhouse/logs/` `/opt/kaspersky/kuma/mongodb/log/` `/opt/kaspersky/kuma/victoria-metrics/log/` Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Интервал очистки буфера	Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
Размер дискового буфера	Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Выходной формат	Формат, в котором события отправляются во внешний источник: JSON. CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
Дисковый буфер	Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен. Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Фильтр	Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Точка назначения, тип storage

Точки назначения с типом storage используются для передачи данных в хранилище. Доступные параметры точки назначения с типом storage описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Состояние	Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
Тип	Тип точки назначения – storage. Обязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Интервал очистки буфера	Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
Размер дискового буфера	Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Прокси-сервер	Прокси-сервер для точки назначения. Вы можете выбрать существующий прокси-сервер или создать новый прокси-сервер. Для создания нового прокси-сервера выберите Создать. Если вы хотите изменить параметры существующего прокси-сервера, нажмите рядом с ним на значок карандаша .
Политика выбора URL	Способ определения URL-адресов, на которые события отправляются в первую очередь, если вы добавили несколько URL-адресов в поле URL на вкладке Основные параметры: Любой – события отправляются на случайно выбранный доступный URL-адрес до тех пор, пока URL-адрес принимает события. Если URL-адрес станет недоступным, события будут отправляться на другой случайно выбранный доступный URL-адрес. Это значение выбрано по умолчанию. Сначала первый – события отправляются на первый добавленный URL-адрес. Если URL-адрес станет недоступным, события будут отправляться на следующий добавленный доступный URL-адрес. Если первый добавленный URL-адрес снова станет доступным, события будут отправляться на него. Сбалансированный – события равномерно распределяются между доступными URL-адресами. Этот способ определения URL-адресов не гарантирует равномерного распределения событий по URL-адресам, так как буфер может быть переполнен или события могут быть отправлены в точку назначения. Вы можете указать размер буфера в байтах в поле Размер буфера, а также указать интервал в секундах для отправки событий в точку назначения в поле Интервал очистки буфера.
Ожидание проверки работоспособности	Интервал в секундах для проверки работоспособности точки назначения.
Дисковый буфер	Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен. Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
Время ожидания	Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Фильтр	Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Точка назначения, тип correlator

Точки назначения с типом correlator используются для передачи данных в коррелятор. Доступные параметры точки назначения с типом correlator описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Состояние	Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
Тип	Тип точки назначения – correlator. Обязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Интервал очистки буфера	Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
Размер дискового буфера	Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Прокси-сервер	Прокси-сервер для точки назначения. Вы можете выбрать существующий прокси-сервер или создать новый прокси-сервер. Для создания нового прокси-сервера выберите Создать. Если вы хотите изменить параметры существующего прокси-сервера, нажмите рядом с ним на значок карандаша .
Политика выбора URL	Способ определения URL-адресов, на которые события отправляются в первую очередь, если вы добавили несколько URL-адресов в поле URL на вкладке Основные параметры: Любой – события отправляются на случайно выбранный доступный URL-адрес до тех пор, пока URL-адрес принимает события. Если URL-адрес станет недоступным, события будут отправляться на другой случайно выбранный доступный URL-адрес. Это значение выбрано по умолчанию. Сначала первый – события отправляются на первый добавленный URL-адрес. Если URL-адрес станет недоступным, события будут отправляться на следующий добавленный доступный URL-адрес. Если первый добавленный URL-адрес снова станет доступным, события будут отправляться на него. Сбалансированный – события равномерно распределяются между доступными URL-адресами. Этот способ определения URL-адресов не гарантирует равномерного распределения событий по URL-адресам, так как буфер может быть переполнен или события могут быть отправлены в точку назначения. Вы можете указать размер буфера в байтах в поле Размер буфера, а также указать интервал в секундах для отправки событий в точку назначения в поле Интервал очистки буфера.
Ожидание проверки работоспособности	Интервал в секундах для проверки работоспособности точки назначения.
Дисковый буфер	Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен. Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
Время ожидания	Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Фильтр	Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Точка назначения, тип eventRouter

Точки назначения с типом eventRouter используются для передачи событий в маршрутизатор событий. Доступные параметры точки назначения с типом eventRouter описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Состояние	Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
Тип	Тип точки назначения – eventRouter. Обязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Интервал очистки буфера	Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
Размер дискового буфера	Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Выходной формат	Формат, в котором события отправляются во внешний источник: JSON. CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
Прокси-сервер	Прокси-сервер для точки назначения. Вы можете выбрать существующий прокси-сервер или создать новый прокси-сервер. Для создания нового прокси-сервера выберите Создать. Если вы хотите изменить параметры существующего прокси-сервера, нажмите рядом с ним на значок карандаша .
Политика выбора URL	Способ определения URL-адресов, на которые события отправляются в первую очередь, если вы добавили несколько URL-адресов в поле URL на вкладке Основные параметры: Любой – события отправляются на случайно выбранный доступный URL-адрес до тех пор, пока URL-адрес принимает события. Если URL-адрес станет недоступным, события будут отправляться на другой случайно выбранный доступный URL-адрес. Это значение выбрано по умолчанию. Сначала первый – события отправляются на первый добавленный URL-адрес. Если URL-адрес станет недоступным, события будут отправляться на следующий добавленный доступный URL-адрес. Если первый добавленный URL-адрес снова станет доступным, события будут отправляться на него. Сбалансированный – события равномерно распределяются между доступными URL-адресами. Этот способ определения URL-адресов не гарантирует равномерного распределения событий по URL-адресам, так как буфер может быть переполнен или события могут быть отправлены в точку назначения. Вы можете указать размер буфера в байтах в поле Размер буфера, а также указать интервал в секундах для отправки событий в точку назначения в поле Интервал очистки буфера.
Ожидание проверки работоспособности	Интервал в секундах для проверки работоспособности точки назначения.
Дисковый буфер	Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен. Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
Время ожидания	Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Фильтр	Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Предустановленные точки назначения

В поставку KUMA включены перечисленные в таблице ниже точки назначения.

Предустановленные точки назначения

Название точки назначения	Описание
[OOTB] Correlator	Отправляет события в коррелятор.
[OOTB] Storage	Отправляет события в хранилище.

Нормализаторы

Нормализаторы предназначены для приведения исходных событий, которые поступают из разных источников в разных форматах, к модели данных событий KUMA. Нормализованные события становятся доступны для обработки другими ресурсами и сервисами KUMA.

Нормализатор состоит из основного и необязательных дополнительных правил парсинга событий. С помощью создания основного и множества дополнительных правил парсинга можно реализовать сложную логику обработки событий. Данные передаются по древовидной структуре правил парсинга в зависимости от условий, заданных в параметре

Условия дополнительной нормализации. Последовательность создания правил парсинга имеет значение: событие обрабатывается последовательно и последовательность обработки обозначена стрелками.

Нормализация событий теперь доступна в следующих вариантах:

1 коллектор - 1 нормализатор
Мы рекомендуем использовать такой способ, если у вас много событий одного типа или много IP-адресов, откуда могут приходить события одного типа. Можно настроить один коллектор только с одним нормализатором и это будет оптимально с точки зрения производительности.
1 коллектор - несколько нормализаторов с привязкой к IP
Такой способ доступен для коллекторов с коннектором типа UDP, TCP, HTTP. Если в коллекторе на шаге Транспорт указан коннектор UDP, TCP, HTTP, на шаге Парсинг событий на вкладке Настройки парсинга вы можете задать несколько IP-адресов и указать, какой нормализатор использовать для событий, поступающих с заданных адресов. Доступны следующие типы нормализаторов: json, cef, regexp, syslog, csv, kv, xml. Для нормализаторов типа Syslog и regexp вы можете задать дополнительные условия нормализации в зависимости от значения поля DeviceProcessName.

Нормализатор создается в несколько этапов:

Подготовка к созданию нормализатора
Нормализатор можно создать в веб-интерфейсе KUMA:
- В разделе Ресурсы → Нормализаторы.
- При создании коллектора на шаге Парсинг событий.
Затем в нормализаторе необходимо создать правила парсинга.
Создание основного правила парсинга событий
Основное правило парсинга создается с помощью кнопки Добавить парсинг событий. При этом открывается окно Парсинг событий, в котором вы можете задать параметры основного правила парсинга:
- Задать параметры парсинга событий.
- Задать параметры обогащения событий.
Основное правило парсинга событий отображается в нормализаторе в виде темного кружка. Параметры основного правила парсинга можно просмотреть или изменить, нажав на его кружок. При наведении на кружок отображается значок плюса: при нажатии на него можно добавить дополнительные правила парсинга.

Название основного правила парсинга используется в KUMA в качестве названия нормализатора.
Создание дополнительных правил парсинга событий
При нажатии на значок плюса, который отображается при наведении указателя мыши на кружок или блок, обозначающей нормализатор событий, откроется окно Дополнительный парсинг событий, в котором вы можете задать параметры дополнительного правила парсинга:
- Определить условия, при которых данные будут поступать в новый нормализатор.
- Задать параметры парсинга событий.
- Задать параметры обогащения событий.
Дополнительное правило парсинга событий отображается в нормализаторе виде темного блока. На блоке указаны условия, при котором дополнительное правило парсинга будет задействовано, название дополнительного правила парсинга, а также поле события, при наличии которого данные передаются в нормализатор. Параметры дополнительного правила парсинга можно просмотреть или изменить, нажав его блок.

Если навести указатель мыши на дополнительный нормализатор, отобразится кнопка со значком плюса, с помощью которой можно создать новое дополнительное правило парсинга событий. С помощью кнопки со значком корзины нормализатор можно удалить.
Завершение создания нормализатора
Создание нормализатора завершается нажатием кнопки Сохранить.

В верхнем правом углу в поле поиска можно искать дополнительные правила парсинга по названию.

Для ресурсов нормализатора в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам нормализатор может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в нормализатор в разделе веб-интерфейса Ресурсы → Нормализаторы.

См. также:

Требования к переменным

Параметры парсинга событий

Фильтрация по данным из поля события Extra

При создании правил парсинга событий в окне параметров нормализатора на вкладке Схема нормализации вы можете настроить правила приведения поступающих событий к формату KUMA. Доступные параметры парсинга событий описаны в таблице ниже.

При нормализации событий, помимо полей стандартной схемы событий KUMA вы также можете использовать поля расширенной схемы событий.

Доступные параметры парсинга событий

Параметр

Описание

Название

Название правил парсинга. Максимальная длина имени: 128 символов в кодировке Unicode. Название основного правила парсинга будет использоваться в качестве названия нормализатора.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Параметр недоступен для дополнительных правил парсинга.

Метод парсинга

Тип входящих событий. В зависимости от выбранного метода парсинга вы можете использовать преднастроенные правила сопоставления полей событий или задать свои правила. При выборе некоторых методов парсинга могут стать доступны дополнительные параметры, которые вам нужно заполнить. Доступные методы парсинга:

json
Этот метод парсинга используется для обработки данных в формате JSON, в которых каждый объект, включая его вложенные объекты, занимает одну строку файла.

При обработке файлов с иерархически выстроенными данными вы можете обращаться к полям вложенных объектов, указывая названия параметров поочередно через точку. Например, к параметру username из строки "user":{"username":"system:node:example-01"} можно обратиться с помощью запроса user.username.

Файлы обрабатываются построчно. Многострочные объекты с вложенными структурами могут быть нормализованы неправильно.

В сложных схемах нормализации, где используются дополнительные нормализаторы, все вложенные объекты обрабатываются на первом уровне нормализации за исключением случаев, когда условия дополнительной нормализации не заданы и обрабатываемое событие целиком передается в дополнительный нормализатор.

В качестве разделителя строк вы можете использовать символы \n и \r\n. Строки должны быть в кодировке UTF-8.

Если вы хотите передавать сырое событие для дополнительной нормализации, на каждом уровне вложенности в окне Дополнительный парсинг события в раскрывающемся списке Использовать сырое событие выберите Да.
cef
Этот метод парсинга используется для обработки данных в формате CEF.

При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.
regexp
Этот метод парсинга используется для создания собственных правил обработки данных в формате с использованием регулярных выражений.

Вам нужно добавить регулярное выражение (синтаксис RE2) c именованными группами захвата в поле блока параметров Нормализация. Имя группы захвата и ее значение будут считаться полем и значением сырого события, которое можно будет преобразовать в поле события формата KUMA.

Чтобы добавить правила обработки событий:
1. При необходимости в поле Примеры событий скопируйте пример данных, которые вы хотите обработать. Мы рекомендуем выполнить этот шаг.
2. В поле блока параметров Нормализация добавьте регулярное выражение c именованными группами захвата в синтаксисе RE2, например "(?P<name>regexp)". Регулярное выражение, добавленное в поле блока параметров Нормализация, должно полностью совпадать с событием. При разработке регулярного выражения рекомендуется использовать специальные символы, обозначающие начало и конец текста: ^, $.
  Вы можете добавить несколько регулярных выражений или удалить регулярные выражения. Для добавления регулярного выражения нажмите на кнопку Добавить регулярное выражение. Для удаления регулярного выражения нажмите рядом с ним на значок удаления .
3. Нажмите на кнопку Перенести названия полей в таблицу.
  Имена групп захвата отображаются в столбце Поле KUMA таблицы Сопоставление. Вы можете выбрать соответствующее группе захвата поле KUMA в столбце напротив каждой группы захвата. Если вы именовали группы захвата в соответствии с форматом CEF, вы можете использовать автоматическое сопоставление CEF, установив флажок Использовать синтаксис CEF при нормализации.
Правила обработки событий будут добавлены.
syslog
Этот метод парсинга используется для обработки данных в формате syslog.

При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

Для парсинга событий в формате rfc5424 с секцией structured-data вам нужно в раскрывающемся списке Сохранить дополнительные поля выбрать Да. В этом случае значения из секции structured-data станут доступны в полях Extra.
csv
Этот метод парсинга используется для создания собственных правил обработки данных в формате CSV.

При выборе этого метода парсинга вам нужно в поле Разделитель указать разделитель значений в строке. В качестве разделителя значений в строке можно использовать любой однобайтовый символ ASCII.

Этот метод парсинга используется для обработки данных в формате ключ-значение. Доступные параметры метода парсинга описаны в таблице ниже.

Доступные параметры метода парсинга

Параметр	Описание
Разделитель пар	Символ для разделения пар ключ-значение. Вы можете указать любое односимвольное (1 байт) значение. Указанное значение не должно совпадать со значением, указанным в поле Разделитель значений.
Разделитель значений	Символ для разделения ключа и значения. Вы можете указать любое односимвольное (1 байт) значение. Указанное значение не должно совпадать со значением, указанным в поле Разделитель пар.

xml
Этот метод парсинга используется для обработки данных в формате XML, в которых каждый объект, включая вложенные объекты, занимает одну строку файла. Файлы обрабатываются построчно.

Если вы хотите передавать сырое событие для дополнительной нормализации, на каждом уровне вложенности в окне Дополнительный парсинг события в раскрывающемся списке Использовать сырое событие выберите Да.

При выборе этого метода парсинга вы можете указать ключевые атрибуты XML, которые требуется извлекать из тегов, в блоке параметров Атрибуты XML. Если в структуре XML в одном теге есть атрибуты XML с разными значениями, вы можете определить значение, указав ключ к значению в столбце Исходные данные таблицы Сопоставление.

Чтобы добавить ключевые атрибуты XML:
1. Нажмите на кнопку + Добавить поле.
2. В открывшемся окне укажите путь к атрибуту XML.
Вы можете добавить несколько атрибутов XML и удалить атрибуты XML. Для удаления отдельного атрибута XML нажмите рядом с ним на значок удаления . Для удаления всех атрибутов XML нажмите на кнопку Сбросить.

Если ключевые атрибуты XML не указаны, при сопоставлении полей уникальный путь к значению XML будет представлен последовательностью тегов.

Нумерация тегов

Начиная с версии KUMA 2.1.3 доступна автоматическая нумерация тегов в событиях в формате XML. Это позволяет распарсить событие с одинаковыми тегами или неименованными тегами, такими как <Data>.

В качестве примера мы используем нумерацию тегов атрибута EventData события Microsoft Windows PowerShell event ID 800.

<Event xmlns="http://schemas .microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS" />

<EventID Qualifiers="0000">0000</EventID>

<Version>@</Version>

<Level>4</Level>

<Task>15</Task>

<Opcode>0</Opcode>

<Keywords >0x8080000000000000</Keywords>

<TimeCreated SystemTime="2000-01-01T00:00:00.659495900Z" />

<EventRecordID>55647</EventRecordID>

<Correlation />

<Execution ProcessID="1" ThreadID="1" />

<Channel>service</Channel>

<Computer>computer</Computer>

<Security UserID="0000" />

</System>

<EventData>

<Data>583</Data>

<Data>36</Data>

<Data>192.168.0.1:5084</Data>

<Data>level</Data>

<Data>name, lDAPDisplayName</Data>

<Data />

<Data>5545</Data>

<Data>3</Data>

<Data>0</Data>

<Data>0</Data>

<Data>0</Data>

<Data>15</Data>

<Data>none</Data>

</EventData>

</Event>

Для парсинга событий с одинаковыми тегами или неименованными тегами вам нужно настроить нумерацию тегов и маппинг данных для пронумерованных тегов с полями события KUMA.

KUMA 3.0.x поддерживает одновременное использование атрибутов XML и нумерации тегов в рамках одного экстранормализатора. Если атрибут XML содержит неименованные теги или одинаковые теги, мы рекомендуем использовать нумерацию тегов. Если атрибут XML содержит только именованные теги, мы рекомендуем использовать атрибуты XML.

Для использования атрибутов XML и нумерации тегов в экстранормализаторах вам нужно последовательно включить параметр Использовать сырое событие в каждом экстранормализаторе по пути следования события в целевой экстранормализатор и в целевом экстранормализаторе.

В качестве примера работы нумерации тегов вы можете обратиться к нормализатору MicrosoftProducts. Параметр Использовать сырое событие включен последовательно в экстранормализаторах AD FS и 424.

Чтобы настроить парсинг событий с неименованными или одинаковыми тегами:
1. Откройте существующий или создайте новый нормализатор.
2. В окне нормализатора Основной парсинг событий в раскрывающемся списке Метод парсинга выберите xml.
3. В поле Нумерация тегов нажмите на кнопку + Добавить поле.
4. В отобразившемся поле укажите полный путь к тегу, элементам которого требуется присвоить порядковый номер, например Event.EventData.Data. Первому тегу будет присвоен номер 0. Если тег пустой, например <Data />, ему также будет присвоен порядковый номер.
5. Для настройки маппинга данных в группе параметров Сопоставление нажмите на кнопку + Добавить строку и выполните следующие действия:
  1. В отобразившейся строке в поле Исходные данные укажите полный путь к тегу и индекс тега. Например, для события Microsoft Windows PowerShell event ID 800 из примера выше полные пути к тегам и индексы тегов будут выглядеть следующим образом:
    - Event.EventData.Data.0;
    - Event.EventData.Data.1;
    - Event.EventData.Data.2 и так далее.
  2. В раскрывающемся списке Поле KUMA выберите поле в событии KUMA, в которое попадет значение из пронумерованного тега после выполнения парсинга.
6. Сохраните изменения одним из следующих способов:
  - Если вы создали новый нормализатор, нажмите на кнопку Сохранить.
  - Если вы изменили существующий нормализатор, в коллекторе, к которому привязан нормализатор, нажмите на кнопку Обновить параметры.
Настройка парсинга будет завершена.
netflow
Этот метод парсинга используется для обработки данных во всех поддерживаемых форматах на основе протокола NetFlow: NetFlow v5, NetFlow v9 и IPFIX.

При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию. При этом будут учтены исходные поля всех версий NetFlow (NetFlow v5, NetFlow v9 и IPFIX).

Если метод парсинга netflow выбран для основного парсинга, дополнительная нормализация недоступна.

В правилах сопоставления по умолчанию для метода парсинга netflow в полях событий KUMA не указывается тип протокола. При парсинге данных в формате NetFlow на вкладке нормализатора Обогащение вам нужно создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.
netflow5
Этот метод парсинга используется для обработки данных в формате NetFlow v5.

При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию. Если метод парсинга netflow5 выбран для основного парсинга, дополнительная нормализация недоступна.

В правилах сопоставления по умолчанию для метода парсинга netflow5 в полях событий KUMA не указывается тип протокола. При парсинге данных в формате NetFlow на вкладке нормализатора Обогащение вам нужно создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.
netflow9
Этот метод парсинга используется для обработки данных в формате NetFlow v9.

При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию. Если метод парсинга netflow9 выбран для основного парсинга, дополнительная нормализация недоступна.

В правилах сопоставления по умолчанию для метода парсинга netflow9 в полях событий KUMA не указывается тип протокола. При парсинге данных в формате NetFlow на вкладке нормализатора Обогащение вам нужно создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.
sflow5
Этот метод парсинга используется для обработки данных в формате sflow5.

При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию. Если метод парсинга sflow5 выбран для основного парсинга, дополнительная нормализация недоступна.
ipfix
Этот метод парсинга используется для обработки данных в формате IPFIX.

При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию. Если метод парсинга ipfix выбран для основного парсинга, дополнительная нормализация недоступна.

В правилах сопоставления по умолчанию для метода парсинга ipfix в полях событий KUMA не указывается тип протокола. При парсинге данных в формате NetFlow на вкладке нормализатора Обогащение вам нужно создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.
sql
Нормализатор использует этот метод парсинга для обработки данных, полученных с помощью выборки из базы данных.

Обязательный параметр.

Сохранить исходное событие

Сохранение исходных событий во вновь созданном нормализованном событии. Доступные значения:

Не сохранять – не сохранять исходное событие. Это значение используется по умолчанию.
При возникновении ошибок – сохранять исходное событие в поле Raw нормализованного события, если в процессе парсинга возникли ошибки. Это значение удобно использовать при отладке сервиса, так как в этом случае появление у событий непустого поля Raw будет являться признаком неполадок.
Если поля с названиями *Address или *Date* не соответствуют правилам нормализации, такие поля игнорируются. При этом не возникает ошибка нормализации и значения полей не попадают в поле Raw нормализованного события, даже если был указан параметр Сохранить исходное событие → При возникновении ошибок.
Всегда – сохранять сырое событие в поле Raw нормализованного события.

Обязательный параметр. Параметр недоступен для дополнительных правил парсинга.

Сохранить дополнительные поля

Сохранение поля и значения, для которых не настроены правила сопоставления. Данные сохраняются в поле события Extra в виде массива. Нормализованные события можно искать и фильтровать по данным, хранящимся в поле Extra.

Условия для фильтров по данным из поля события Extra:

Условие – Если.
Левый операнд – поле события.
В поле события вы можете указать одно из следующих значений:
- Поле Extra.
- Значение из поля Extra в следующем формате:
  Extra.<название поля>
  
  Например, Extra.app.
  
  Вам нужно указать значение вручную.
- Значение из массива, записанного в поле Extra, в следующем формате:
  Extra.<название поля>.<элемент массива>
  
  Например, Extra.array.0.
  
  Нумерация значений в массиве начинается с 0. Вам нужно указать значение вручную. Для работы со значением из поля Extra на глубине 3 и ниже требуется использовать кавычки ``, например `Extra.lev1.lev2.lev3`.
Оператор – =.
Правый операнд – константа.
Значение – значение, по которому требуется фильтровать события.

По умолчанию дополнительные поля не сохраняются.

Обязательный параметр.

Описание

Описание ресурса. Максимальная длина описания: до 4000 символов в кодировке Unicode.

Параметр недоступен для дополнительных правил парсинга.

Примеры событий

Пример данных, которые вы хотите обработать.

Параметр недоступен для методов парсинга netflow5, netflow9, sflow5, ipfix и sql.

Если парсинг события был выполнен успешно и тип полученных из сырого события данных совпадает с типом поля KUMA, поле Примеры событий заполняется данными, полученными из сырого события. Например, значение "192.168.0.1", заключенное в кавычки, не будет отображено в поле SourceAddress. При этом значение 192.168.0.1 будет отображено в поле Примеры событий.

Сопоставление

Параметры для настройки сопоставления полей исходного события с полями события в формате KUMA:

Исходные данные – названия полей исходного события, которые вы хотите преобразовать в поля события KUMA.
Если рядом с названиями полей в столбце Исходные данные нажать на кнопку , откроется окно Преобразование, в котором вы можете с помощью кнопки Добавить преобразование создавать правила для изменения исходных данных перед записью в поля событий KUMA. Вы можете менять местами и удалять созданные правила. Для изменения места правила используйте значок рядом с ним. Для удаления правила нажмите рядом с ним на значок .

Доступные преобразования
Преобразования – это изменения, которые применяются к значению перед записью в поле события. Вы можете выбрать в раскрывающемся списке один из следующих типов преобразования:
- entropy – используется для преобразования значения исходного поля с помощью функции вычисления информационной энтропии и помещения результата преобразования в целевое поле типа float. Результатом преобразования будет число. Показатель вычисления информационной энтропии позволяет выявлять DNS-туннели и компрометацию паролей, например когда пользователь ввел пароль вместо логина и пароль записывается в журнал в открытом виде.
- lower – используется для перевода всех символов значения в нижний регистр.
- upper – используется для перевода всех символов значения в верхний регистр.
- regexp – используется для преобразования значения с помощью указанного регулярного выражения RE2. При выборе этого типа преобразования отображается поле, в котором вам нужно указать регулярное выражение RE2.
- substring – используется для извлечения символов в указанном диапазоне позиций. При выборе этого типа преобразования отображаются поля Начало и Конец, в которых вам нужно указать диапазон позиций.
- replace – используется для замены указанной последовательности символов на другую последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
  - Символы на замену – последовательность символов, которую требуется заменить.
  - Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
- trim – используется для удаления указанных символов одновременно с начала и с конца значения поля события. При выборе этого типа преобразования отображается поле Символы, в котором вам нужно указать символы. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, новым значением будет soft-Windows-Sys.
- append – используется для добавления указанных символов в конец значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
- prepend – используется для добавления указанных символов к началу значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
- replace with regexp – используется для замены результатов регулярного выражения RE2 на указанную последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
  - Выражение – регулярное выражение RE2, результаты которого требуется заменить.
  - Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
- Конвертация закодированных строк в текст:
  - decodeHexString – используется для конвертации HEX-строки в текст.
  - decodeBase64String – используется для конвертации Base64-строки в текст.
  - decodeBase64URLString – используется для конвертации Base64url-строки в текст.
  При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.
  
  При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, строка будет обрезана и не будет раскодирована.
  
  Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, строка будет обрезана до размера этого поля события.
Преобразования при использовании расширенной схемы событий

Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:
- для дополнительного поля с типом Строка доступны все типы преобразования.
- для полей с типами Число и Число с плавающей точкой доступны следующие типы преобразования: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String и decodeBase64URLString.
- для полей с типами Массив строк, Массив чисел и Массив чисел с плавающей точкой доступны следующие типы преобразования: append и prepend.
Поле KUMA – поля событий KUMA. Вы можете искать поля, вводя их названия.
Подпись – уникальная пользовательская метка полей событий, которые начинаются с DeviceCustom* и Flex*.

Вы можете добавлять новые строки таблицы и удалять строки таблицы. Для добавления новой строки таблицы нажмите на кнопку Добавить строку . Для удаления отдельной строки таблицы нажмите рядом с ней на значок . Для удаления всех строк таблицы нажмите на кнопку Очистить все.

Если вы загрузили данные в поле Примеры событий, в таблице отобразится столбец Примеры с примерами значений, переносимых из поля исходного события в поле события KUMA.

Если размер поля события KUMA оказывается меньше длины помещаемого в него значения, значение обрезается до размера поля события.

Добавление полей расширенной схемы событий

Расширенная схема событий

Вы можете использовать поля расширенной схемы событий в нормализаторах для нормализации событий и в других ресурсах KUMA, например, в качестве полей виджетов или для фильтрации и поиска событий. Список всех полей расширенной схемы событий, существующих в KUMA, доступен в разделе Параметры → Поля расширенной схемы событий. Список полей расширенной схемы событий единый для всех тенантов.

Просматривать таблицу полей расширенной схемы событий могут только пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик, Чтение общих ресурсов, Редактирование общих ресурсов.

Таблица Поля расширенной схемы событий содержит следующие данные:

Тип – тип данных поля расширенной схемы событий.

Доступные типы данных

Тип	Доступность в нормализаторе	Тип данных
`S`	Все типы	Строка.
`N`	Все типы	Число.
`F`	Все типы	Число с плавающей точкой.
`SA`	KV, JSON	Массив строк. Порядок элементов массива соответствует порядку элементов сырого события.
`NA`	KV, JSON	Массив целых чисел. Порядок элементов массива соответствует порядку элементов сырого события.
`FA`	KV, JSON	Массив чисел с плавающей точкой. Порядок элементов массива соответствует порядку элементов сырого события.

Имя поля – имя поля расширенной схемы событий, без типа.
Вы можете нажать на имя, чтобы изменить параметры поля расширенной схемы событий.
Статус – возможность использовать поле расширенной схемы событий в ресурсах.
Вы можете перевести переключатель в положение Включено или Выключено, чтобы разрешить или запретить использование этого поля расширенной схемы событий в новых ресурсах. При этом выключенное поле все еще будет использоваться в уже работающих конфигурациях ресурсов, пока вы не удалите его из конфигурации вручную, а также будет доступно в списке столбцов таблицы в разделе События для работы со старыми событиями.

Выключить использование поля расширенной схемы событий может только пользователь с ролью Главный администратор.
Дата обновления – дата и время последнего изменения поля расширенной схемы событий.
Создал – имя пользователя, который создал поле расширенной схемы событий.
Зависимости – количество ресурсов KUMA, макетов панели мониторинга, отчетов, пресетов и наборов полей для поиска источников событий, использующих поле расширенной схемы событий.
Вы можете нажать на число, чтобы открыть панель с таблицей всех ресурсов и других сущностей KUMA, в которых используется это поле. Для каждой зависимости в таблице отображается название, тенант (только для ресурсов) и тип. Зависимости в таблице отсортированы по названию. Вы можете нажать на название зависимости, чтобы перейти на ее страницу (кроме макетов панели мониторинга, пресетов и сохраненных запросов пользователей).

Вы можете просмотреть зависимости поля расширенной схемы событий только от тех ресурсов и сущностей, к тенантам которых у вас есть доступ. Если у вас нет доступа к тенанту, соответствующие ресурсы не будут отображаться в таблице, но будут учитываться в количестве зависимостей.
Описание – текстовое описание поля.

По умолчанию таблица полей расширенной схемы событий отсортирована по убыванию даты обновления. При необходимости вы можете отсортировать таблицу, нажав на заголовок столбца и выбрав По возрастанию или По убыванию, а также воспользоваться контекстным поиском по имени поля.

По умолчанию в KUMA версии 3.4 и выше автоматически добавляются следующие служебные поля расширенной схемы событий:

KL_EventRoute, тип S – предназначено для хранения информации о маршруте события.
Вы можете использовать это поле в нормализаторах, в качестве ключа или значения в активных листах, в правилах обогащения, в качестве поля запроса в правилах сбора и анализа данных, в корреляционных правилах. Вы не можете использовать это поле для детектирования источников событий.
Следующие поля добавлены в корреляционное событие:
- KL_CorrelationRulePriority, тип N;
- KL_SourceAssetDisplayName, тип S;
- KL_DestinationAssetDisplayName, тип S;
- KL_DeviceAssetDisplayName, тип S;
- KL_SourceAccountDisplayName, тип S;
- KL_DestinationAccountDisplayName, тип S.
Вы можете использовать эти служебные поля для поиска событий.

Вы не можете изменять, удалять, экспортировать и отключать служебные поля. Все поля расширенной схемы событий с префиксом KL_ являются служебными и управляются только c серверов "Лаборатории Касперского". Мы не рекомендуем использовать префикс KL_ в имени при добавлении новых полей расширенной схемы событий.

В этом разделе

Изменение полей расширенной схемы событий

Импорт и экспорт полей расширенной схемы событий

Удаление полей расширенной схемы событий

Использование полей расширенной схемы событий в нормализаторах

Добавление полей расширенной схемы событий

Пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик, Редактирование общих ресурсов могут добавлять новые поля расширенной схемы событий.

Чтобы добавить поле расширенной схемы событий:

В веб-консоли KUMA в разделе Параметры → Поля расширенной схемы событий нажмите на кнопку Добавить в верхней части таблицы.
Откроется панель Создание расширенной схемы.
Включите или выключите переключатель Статус, чтобы разрешить или запретить использовать это поле расширенной схемы событий в ресурсах.
По умолчанию переключатель включен. Выключенное поле все еще будет доступно в списке столбцов таблицы в разделе События для работы со старыми событиями.

В поле Тип выберите тип данных поля расширенной схемы событий.

Доступные типы данных

Тип	Доступность в нормализаторе	Тип данных
`S`	Все типы	Строка.
`N`	Все типы	Число.
`F`	Все типы	Число с плавающей точкой.
`SA`	KV, JSON	Массив строк. Порядок элементов массива соответствует порядку элементов сырого события.
`NA`	KV, JSON	Массив целых чисел. Порядок элементов массива соответствует порядку элементов сырого события.
`FA`	KV, JSON	Массив чисел с плавающей точкой. Порядок элементов массива соответствует порядку элементов сырого события.

В поле Имя поля укажите имя поля расширенной схемы событий.
Имя поля расширенной схемы событий имеет следующие особенности:
- Должно быть уникальным в рамках инсталляции KUMA.
- Чувствительно к регистру. Например, имена Имя_поля и имя_поля считаются разными именами.
- Допустимо использовать символы латиницы, кириллицы и числа. Не допускается использование пробелов и символов " ~ ` @ # $ % ^ & * ( ) + - [ ] { } | \ | / . " < > ; ! , : ? =.
- Если вы хотите использовать поля расширенной схемы событий для поиска источников событий, допустимо использовать только символы латиницы и числа.
- Максимальная длина – 128 символов.
При необходимости в поле Описание укажите описание поля расширенной схемы событий.
Мы рекомендуем в описании указывать назначение добавляемого поля расширенной схемы событий. В описании допустимо использовать только символы Unicode. Максимальная длина – 256 символов.
Нажмите на кнопку Сохранить.

Новое поле расширенной схемы событий будет добавлено и отобразится в начале таблицы. Будет создано событие аудита о создании поля расширенной схемы событий. Если вы включили поле, вы сможете использовать его в нормализаторах и при конфигурации ресурсов.

Изменение полей расширенной схемы событий

Пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик, Редактирование общих ресурсов могут изменять существующие поля расширенной схемы событий.

Чтобы изменить поле расширенной схемы событий:

В веб-консоли KUMA в разделе Параметры → Поля расширенной схемы событий нажмите на название поля, которое вы хотите изменить.
Откроется панель Редактирование расширенной схемы. В этой панели отображаются параметры выбранного поля, а также таблица Зависимости со списком ресурсов, макетов панели мониторинга, отчетов, пресетов и наборов полей для поиска источников событий, в которых используется это поле. Отображаются только те ресурсы, к тенантам которых у вас есть доступ. Если поле используется в тех ресурсах, к тенантам которых у вас нет доступа, эти ресурсы не будут отображаться в таблице. Ресурсы в таблице отсортированы по названию.

Вы можете нажать на название ресурса или сущности, чтобы перейти на его страницу (кроме ресурсов панели мониторинга, пресетов и сохраненных запросов пользователей).
Внесите необходимые изменения в доступные параметры.
Вы можете изменить параметры Тип и Имя поля, только если у этого поля расширенной схемы событий нет зависимостей. Параметры Статус и Описание вы можете изменить для любого поля расширенной схемы событий. Поле со статусом Выключено все еще будет использоваться в уже работающих конфигурациях ресурсов, пока вы не удалите его из конфигурации вручную, а также будет доступно в списке столбцов таблицы в разделе События для работы со старыми событиями.

Выключить использование поля расширенной схемы событий с помощью параметра Статус может только пользователь с ролью Главный администратор.
Нажмите на кнопку Сохранить.

Поле расширенной схемы событий обновлено. Будет создано событие аудита об изменении поля.

Импорт и экспорт полей расширенной схемы событий

Вы можете добавить сразу несколько новых полей расширенной схемы событий, импортировав их из файла в формате JSON. Вы также можете экспортировать все существующие в KUMA поля расширенной схемы событий с информацией о них в файл, например, для передачи списка полей в другие инсталляции KUMA для поддержания работы ресурсов.

Импортировать и экспортировать поля расширенной схемы событий могут пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик, Редактирование общих ресурсов. Пользователи с ролью Чтение общих ресурсов могут только экспортировать поля расширенной схемы событий.

Чтобы импортировать поля расширенной схемы событий в KUMA из файла:

В веб-консоли KUMA в разделе Параметры → Поля расширенной схемы событий нажмите на кнопку Импорт.

В открывшемся окне выберите файл в формате JSON со списком объектов полей расширенной схемы событий.

Пример файла JSON:

[

{"kind": "SA",

"name": "<fieldName1>",

"description": "<description1>",

"disabled": false},

{"kind": "N",

"name": "<fieldName2>",

"description": "<description2>",

"disabled": false},

....

{"kind": "FA",

"name": "<fieldNameX>",

"description": "<descriptionX>",

"disabled": false}

]

При импорте полей из файла их имена проверяются на возможные конфликты внутри одного типа. Если в KUMA уже существует поле с таким названием и типом, такие поля из файла не будут импортированы.

Поля расширенной схемы событий будут импортированы из файла в KUMA. Будет создано событие аудита об импорте полей, а также на каждое добавляемое поле будет создано отдельное событие аудита.

Чтобы экспортировать поля расширенной схемы событий в файл:

В веб-консоли KUMA перейдите в раздел Параметры → Поля расширенной схемы событий.
Если вы хотите экспортировать конкретные поля расширенной схемы событий, выполните следующие действия:
1. Установите флажки в первом столбце таблицы напротив необходимых полей.
  Вы не можете выбрать служебные поля.
2. Нажмите на кнопку Экспортировать выбранные в верхней части таблицы.
Если вы хотите экспортировать все поля расширенной схемы событий, нажмите на кнопку Экспортировать все в верхней части таблицы.

Файл JSON со списком объектов полей расширенной схемы событий и информацией о них будет скачан.

Удаление полей расширенной схемы событий

Удалять поля расширенной схемы событий может только пользователь с ролью Главный администратор.

Вы можете удалить только те поля расширенной схемы событий, которые не являются служебными, у которых установлен статус Выключено и которые не используются в ресурсах и других сущностях KUMA (нет зависимостей). Мы рекомендуем удалять поля расширенной схемы событий через некоторые время после того, как события, в которых использовалось поле, были гарантированно удалены из KUMA. После удаления поле не будет отображаться в подсказках событий.

Чтобы удалить поля расширенной схемы событий:

В веб-консоли KUMA перейдите в раздел Параметры → Поля расширенной схемы событий.
Установите флажки в первом столбце таблицы напротив одного или нескольких полей, которые вы хотите удалить.
Вы можете выбрать все поля, установив флажок в первом столбце заголовка таблицы.
Нажмите на кнопку Удалить в верхней части таблицы.
Кнопка Удалить активна, только если все выбранные поля выключены и не имеют зависимостей. Если хотя бы одно поле включено или имеет зависимость, кнопка неактивна.

Если вы хотите удалить поле, которое используется хотя бы в одном ресурсе KUMA (имеет зависимость), но у вас нет доступа к его тенанту, кнопка Удалить будет активна при выборе этого поля, но при попытке удалить его отобразится ошибка.

Выбранные поля будут удалены. Будет создано событие аудита об удалении полей.

Использование полей расширенной схемы событий в нормализаторах

При использовании полей расширенной схемы событий сохраняется общее ограничение для максимального размера события обрабатываемого коллектором – 4 МБ. Информация о типах полей расширенной схемы событий приведена в таблице ниже (пункт 6 инструкции).

Использование значительного количества уникальных полей расширенной схемы событий может привести к снижению производительности системы, увеличению объема дискового пространства, необходимого для хранения событий и сложности восприятия данных.

Мы рекомендуем предварительно продумать и сформировать минимально необходимый набор дополнительных полей расширенной схемы событий и использовать его в нормализаторах и корреляции.

Чтобы использовать поля расширенной схемы событий:

Откройте существующий или создайте новый нормализатор.
Заполните основные параметры нормализатора.
Нажмите на кнопку Добавить строку.
В параметре Исходные данные укажите название исходного поля в сыром событии.
В параметре Поле KUMA начните вводить имя поля расширенной схемы событий и выберите нужное поле в раскрывающемся списке.
Поля расширенной схемы событий в раскрывающемся списке имеют имя в формате <тип>.<имя поля>.
Нажмите на кнопку Сохранить для сохранения нормализатора событий.

Нормализатор сохранен с выбранным полем расширенной схемы событий.

Если данные, находящиеся в полях сырого события, не соответствуют типу поля KUMA, в процессе нормализации событий значение не будет сохранено, если невозможно выполнить преобразование типов данных. Например, строка test не может быть помещена в числовое поле KUMA DeviceCustomNumber1.

С точки зрения нагрузки на сервер хранения при операциях поиска событий, подготовки отчетов и других операций с событиями в хранилище наиболее предпочтительными являются поля схемы событий KUMA, после чего идут поля расширенной схемы событий, затем поля Extra.

Обогащение в нормализаторе

При создании правил парсинга событий в окне параметров нормализатора на вкладке Обогащение вы можете настроить правила дополнения полей нормализованного события другими данными с помощью правил обогащения. Правила обогащения хранятся в параметрах нормализатора, в котором они были созданы.

Вы можете создавать правила обогащения с помощью кнопки Добавить обогащение. Для удаления правила обогащения нажмите рядом с ним на кнопку cross-black . Поля расширенной схемы событий могут быть использованы при обогащении событий. Доступные параметры правила обогащения описаны в таблице ниже.

Доступные параметры правила обогащения

Параметр

Описание

Тип источника

Тип обогащения. В зависимости от выбранного типа обогащения отобразятся дополнительные параметры, которые также потребуется заполнить. Доступные типы обогащения:

Этот тип обогащения используется, если в поле события необходимо добавить константу. Доступные параметры типа обогащения описаны в таблице ниже.

Доступные параметры типа обогащения

Параметр	Описание
Константа	Значение, которое требуется добавить в поле события. Максимальная длина значения: до 255 символов в кодировке Unicode. Если оставить поле пустым, существующее значение поля события будет удалено.
Целевое поле	Поле события KUMA, в которое требуется поместить данные.

Если вы используете функции обогащения событий для полей расширенной схемы с типом Строка, Число или Число с плавающей точкой с помощью константы, в поле будет добавлена константа.

Если вы используете функции обогащения событий для полей расширенной схемы с типом Массив строк, Массив чисел или Массив чисел с плавающей точкой с помощью константы, константа будет добавлена к элементам массива.

Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь. Доступные параметры типа обогащения описаны в таблице ниже.

Доступные параметры типа обогащения

Параметр	Описание
Название словаря	Словарь, из которого будут браться значения.
Ключевые поля	Поля событий, значения которых будут использоваться для выбора записи словаря. Для добавления поля события нажмите на кнопку Добавить поле. Вы можете добавить несколько полей событий.

Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбрано значение словарь, а в параметре Ключевые поля обогащения указано поле-массив, при передаче массива в качестве ключа словаря массив будет сериализован в строку согласно правилам сериализации одного значения в формате TSV.

Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne. В поле расширенной схемы SA.StringArrayOne находятся значения "a", "b", "c". В качестве ключа в словарь будут переданы значения ['a','b','c'].

Если в параметре Ключевые поля обогащения используется поле-массив расширенной схемы и обычное поле схемы событий, значения полей при обращении в словарь будут разделены символом «|».

Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne и строковое поле Code. В поле расширенной схемы SA.StringArrayOne находятся значения "a", "b", "c", а строковое поле Code содержит последовательность символов myCode. В качестве ключа в словарь будут переданы значения ['a','b','c']|myCode.

Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица. Доступные параметры типа обогащения описаны в таблице ниже.

Доступные параметры типа обогащения

Параметр

Описание

Название словаря

Словарь, из которого будут браться значения.

Ключевые поля

Поля событий, значения которых будут использоваться для выбора записи словаря. Для добавления поля события нажмите на кнопку Добавить поле. Вы можете добавить несколько полей событий.

Сопоставление

Поля событий для передачи данных:

Поле словаря – поля словаря, из которых будут передаваться данные. Доступные поля зависят от выбранного ресурса словаря.
Поле KUMA – поля событий, в которые будут передаваться данные. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись вы можете задать название для помещаемых данных.

Первое поле в таблице (Поле словаря) считается ключом, с которым будут сопоставляться поля, выбранные из события в качестве ключевых (Поле KUMA). В качестве ключа в Поле словаря вам нужно выбрать индикатор компрометации, по которому будет осуществляться обогащение, например IP-адрес, URL-адрес или хеш. В правиле необходимо выбрать поле события, соответствующее выбранному индикатору в поле словаря.

Если вы хотите выбрать несколько ключевых полей, вы можете указать их через разделитель | (при указании через веб-интерфейс или импорте через CSV-файл), например <IP-адрес>|<имя пользователя>.

Вы можете добавлять новые строки таблицы и удалять строки таблицы. Для добавления новой строки таблицы нажмите на кнопку Добавить элемент. Для удаления строки таблицы нажмите на кнопку .

событие

Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Доступные параметры типа обогащения описаны в таблице ниже.

Доступные параметры типа обогащения

Параметр	Описание
Целевое поле	Поле события KUMA, в которое требуется поместить данные.
Исходное поле	Поле события, значение которого будет записано в целевое поле.

Если нажать на кнопку wrench-new , откроется окно Преобразование, в котором вы можете с помощью кнопки Добавить преобразование создавать правила для изменения исходных данных перед записью в поля событий KUMA. Вы можете менять местами и удалять созданные правила. Для изменения места правила используйте значок DragIcon рядом с ним. Для удаления правила нажмите рядом с ним на значок cross-black .

Преобразования – это изменения, которые применяются к значению перед записью в поле события. Вы можете выбрать в раскрывающемся списке один из следующих типов преобразования:

entropy – используется для преобразования значения исходного поля с помощью функции вычисления информационной энтропии и помещения результата преобразования в целевое поле типа float. Результатом преобразования будет число. Показатель вычисления информационной энтропии позволяет выявлять DNS-туннели и компрометацию паролей, например когда пользователь ввел пароль вместо логина и пароль записывается в журнал в открытом виде.
lower – используется для перевода всех символов значения в нижний регистр.
upper – используется для перевода всех символов значения в верхний регистр.
regexp – используется для преобразования значения с помощью указанного регулярного выражения RE2. При выборе этого типа преобразования отображается поле, в котором вам нужно указать регулярное выражение RE2.
substring – используется для извлечения символов в указанном диапазоне позиций. При выборе этого типа преобразования отображаются поля Начало и Конец, в которых вам нужно указать диапазон позиций.
replace – используется для замены указанной последовательности символов на другую последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
- Символы на замену – последовательность символов, которую требуется заменить.
- Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
trim – используется для удаления указанных символов одновременно с начала и с конца значения поля события. При выборе этого типа преобразования отображается поле Символы, в котором вам нужно указать символы. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, новым значением будет soft-Windows-Sys.
append – используется для добавления указанных символов в конец значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
prepend – используется для добавления указанных символов к началу значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
replace with regexp – используется для замены результатов регулярного выражения RE2 на указанную последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
- Выражение – регулярное выражение RE2, результаты которого требуется заменить.
- Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
Конвертация закодированных строк в текст:
- decodeHexString – используется для конвертации HEX-строки в текст.
- decodeBase64String – используется для конвертации Base64-строки в текст.
- decodeBase64URLString – используется для конвертации Base64url-строки в текст.
При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, строка будет обрезана и не будет раскодирована.

Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, строка будет обрезана до размера этого поля события.

Преобразования при использовании расширенной схемы событий

Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:

для дополнительного поля с типом Строка доступны все типы преобразования.
для полей с типами Число и Число с плавающей точкой доступны следующие типы преобразования: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String и decodeBase64URLString.
для полей с типами Массив строк, Массив чисел и Массив чисел с плавающей точкой доступны следующие типы преобразования: append и prepend.

При использовании обогащения событий, у которых в качестве параметра Тип источника данных выбрано значение событие, а в качестве аргументов используются поля расширенной схемы событий, необходимо учесть следующие особенности:

Если исходное поле расширенной схемы событий имеет тип Массив строк, а целевое поле расширенной схемы событий имеет тип Строка, значения будут размещены в целевом поле расширенной схемы событий в формате TSV.
Пример: в поле расширенной схемы событий SA.StringArray, находятся значения «string1», «string2», «string3». Выполняется операция обогащения событий. Результат выполнения операции обогащения событий заносится в поле расширенной схемы событий DeviceCustomString1. В поле расширенной схемы событий DeviceCustomString1 будут находиться значения [«string1», «string2», «string3»].
Если исходное и целевое поля расширенной схемы событий имеют тип Массив строк, значения целевого поля расширенной схемы событий будут дополнены значениями исходного поля расширенной схемы событий, а качестве символа-разделителя будет использован символ «,».
Пример: в поле расширенной схемы событий SA.StringArrayOne, находятся значения [«string1», «string2», «string3»], а в поле расширенной схемы событий SA.StringArrayTwo находятся значения [«string4», «string5», «string6»]. Выполняется операция обогащения событий. Результат выполнения операции обогащения событий заносится в поле расширенной схемы событий SA.StringArrayTwo. В поле расширенной схемы событий SA.StringArrayTwo будут находиться значения [«string4», «string5», «string6», «string1», «string2», «string3»].

Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Мы рекомендуем сопоставлять значение и размер поля. Доступные параметры типа обогащения описаны в таблице ниже.

Доступные параметры типа обогащения

Параметр	Описание
Шаблон	Шаблон Go. Имена полей событий передаются в формате `{{.EventField}}`, где `EventField` – это название поля события, значение которого должно быть передано в скрипт, например `Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}`.
Целевое поле	Поле события KUMA, в которое требуется поместить данные.

Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбрано значение шаблон, целевым полем является поле с типом Строка, а исходным полем является поле расширенной схемы событий, содержащее массив строк, в шаблоне может быть использован один из следующих примеров:

{{.SA.StringArrayOne}}
{{- range $index, $element := . SA.StringArrayOne -}}
{{- if $index}}, {{end}}"{{$element}}"{{- end -}}

Для преобразования в шаблоне данных поля массива в формат TSV необходимо использовать функцию toString, например:

template {{toString .SA.StringArray}}

Обязательный параметр.

Целевое поле

Поле события KUMA, в которое требуется поместить данные.

Обязательный параметр. Параметр недоступен для типа источника обогащения таблица.

Условия передачи данных в дополнительный нормализатор

При создании дополнительных правил парсинга событий вы можете указать условия, при выполнении которых события будут поступать на обработку в правило парсинга. Условия можно задать в окне Дополнительное правило парсинга на вкладке Условия дополнительной нормализации. В основных правилах парсинга эта вкладка отсутствует.

Доступные параметры:

Использовать сырое событие – если вы хотите передавать сырое событие для дополнительной нормализации, в раскрывающемся списке Использовать сырое событие выберите значение Да. По умолчанию указано значение Нет. Мы рекомендуем передавать сырое событие в нормализаторы типа json и xml. Если вы хотите передавать сырое событие для дополнительной нормализации на второй, третий и далее уровень вложенности, последовательно на каждом уровне вложенности в раскрывающемся списке Использовать сырое событие выберите значение Да.
Поле, которое следует передать в нормализатор – используется для указания поля события в том случае, если вы хотите отправлять на дополнительный парсинг только события с заданными в параметрах нормализатора полями.
Если оставить это поле пустым, в дополнительный нормализатор будет передано событие целиком.
Блок фильтров – используется для формулирования сложных условий, которым должны удовлетворять события, поступающие в нормализатор.
С помощью кнопки Добавить условие можно добавить строку с полями для определения условия (см. ниже).

С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия.

Условия и группы можно менять местами, перетягивая их за значок , а также удалять с помощью значка .

Параметры условий фильтра:

Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.
В левом операнде следует указывать исходное поле событий, поступающих в нормализатор. Например, если в окне Основной парсинг событий настроено сопоставление eventType - DeviceEventClass, то в окне Дополнительный парсинг событий на вкладке Условия дополнительной нормализации в поле левого операнда для фильтра следует указать eventType. Данные обрабатываются только как текстовые строки.
Операторы:
- = – полное совпадение левого и правого операндов.
- startsWith – левый операнд начинается с символов, указанных в правом операнде.
- endsWith – левый операнд заканчивается символами, указанными в правом операнде.
- match – левые операнд соответствует регулярному выражению (RE2), указанному в правом операнде.
- in – левый операнд соответствует одному из значений, указанных в правом операнде.

Поступающие данные можно предварительно преобразовать, если нажать на кнопку wrench-new : откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как над ними будут совершены какие-либо действия. В окне Преобразования добавленные правила можно менять местами, перетягивая их за значок DragIcon , а также удалять с помощью значка cross-black .

entropy – используется для преобразования значения исходного поля с помощью функции вычисления информационной энтропии и помещения результата преобразования в целевое поле типа float. Результатом преобразования будет число. Показатель вычисления информационной энтропии позволяет выявлять DNS-туннели и компрометацию паролей, например когда пользователь ввел пароль вместо логина и пароль записывается в журнал в открытом виде.
lower – используется для перевода всех символов значения в нижний регистр.
upper – используется для перевода всех символов значения в верхний регистр.
regexp – используется для преобразования значения с помощью указанного регулярного выражения RE2. При выборе этого типа преобразования отображается поле, в котором вам нужно указать регулярное выражение RE2.
substring – используется для извлечения символов в указанном диапазоне позиций. При выборе этого типа преобразования отображаются поля Начало и Конец, в которых вам нужно указать диапазон позиций.
replace – используется для замены указанной последовательности символов на другую последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
- Символы на замену – последовательность символов, которую требуется заменить.
- Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
trim – используется для удаления указанных символов одновременно с начала и с конца значения поля события. При выборе этого типа преобразования отображается поле Символы, в котором вам нужно указать символы. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, новым значением будет soft-Windows-Sys.
append – используется для добавления указанных символов в конец значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
prepend – используется для добавления указанных символов к началу значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
replace with regexp – используется для замены результатов регулярного выражения RE2 на указанную последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
- Выражение – регулярное выражение RE2, результаты которого требуется заменить.
- Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
Конвертация закодированных строк в текст:
- decodeHexString – используется для конвертации HEX-строки в текст.
- decodeBase64String – используется для конвертации Base64-строки в текст.
- decodeBase64URLString – используется для конвертации Base64url-строки в текст.
При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, строка будет обрезана и не будет раскодирована.

Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, строка будет обрезана до размера этого поля события.

Преобразования при использовании расширенной схемы событий

Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:

для дополнительного поля с типом Строка доступны все типы преобразования.
для полей с типами Число и Число с плавающей точкой доступны следующие типы преобразования: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String и decodeBase64URLString.
для полей с типами Массив строк, Массив чисел и Массив чисел с плавающей точкой доступны следующие типы преобразования: append и prepend.

Поддерживаемые источники событий

KUMA поддерживает нормализацию событий, которые поступают от систем, перечисленных в таблице ниже. Нормализаторы для указанных систем включены в поставку.

Поддерживаемые источники событий

Название системы	Название нормализатора	Тип	Описание нормализатора
1C EventJournal	[OOTB] 1C EventJournal Normalizer	xml	Предназначен для обработки журнала событий системы 1С. Источник событий – журнал регистрации 1C.
1C TechJournal	[OOTB] 1C TechJournal Normalizer	regexp	Предназначен для обработки технологического журнала событий. Источник событий – технологический журнал 1С.
Absolute Data and Device Security (DDS)	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
AhnLab Malware Defense System (MDS)	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
AhnLab UTM	[OOTB] Ahnlab UTM	regexp	Предназначен для обработки событий от системы Ahnlab. Источник событий - системные, операционные журналы, подключения, модуль IPS.
AhnLabs MDS	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Alcatel AOS-W	[OOTB] Alcatel AOS-W syslog	regexp	Предназначен для обработки части событий, поступающих от системы Alcatel AOS-W версии 6.4 по Syslog.
Alcatel Network Switch	[OOTB] Alcatel Network Switch syslog	Syslog	Предназначен для обработки некоторых типов событий, полученных от сетевых коммутаторов Alcatel по Syslog.
Apache Cassandra	[OOTB] Apache Cassandra file	regexp	Предназначен для обработки событий в журналах СУБД Apache Cassandra версии 4.0.
Aruba ClearPass	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Atlassian Confluence	[OOTB] Atlassian Jira Conflunce file	regexp	Предназначен для обработки событий систем Atlassian Jira, Atlassian Confluence (Jira версия 9.12, Confluence версия 8.5), хранящихся в файлах.
Atlassian Jira	[OOTB] Atlassian Jira Conflunce file	regexp	Предназначен для обработки событий систем Atlassian Jira, Atlassian Confluence (Jira версия 9.12, Confluence версия 8.5), хранящихся в файлах.
Avanpost FAM	[OOTB] Avanpost FAM syslog	regexp	Предназначен для обработки событий системы Avanpost Federated Access Manager (FAM) версии 1.9, поступающих по Syslog.
Avanpost IDM	[OOTB] Avanpost IDM syslog	regexp	Предназначен для обработки событий системы Avanpost IDM, поступающих по Syslog.
Avanpost PKI	[OOTB] Avanpost PKI syslog CEF	Syslog	Предназначен для обработки событий, поступающих от Avanpost PKI версии 6.0 в формате CEF по Syslog.
Avaya Aura Communication Manager	[OOTB] Avaya Aura Communication Manager syslog	regexp	Предназначен для обработки части событий, поступающих от системы Avaya Aura Communication Manager версии 7.1 по Syslog.
Avigilon Access Control Manager (ACM)	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Ayehu eyeShare	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Arbor Pravail	[OOTB] Arbor Pravail syslog	Syslog	Предназначен для обработки событий системы Arbor Pravail, поступающих по Syslog.
Aruba Aruba AOS-S	[OOTB] Aruba Aruba AOS-S syslog	regexp	Предназначен для обработки некоторых типов событий, поступающих от сетевых устройств Aruba с прошивкой Aruba AOS-S версии 16.10 по Syslog. Нормализатор поддерживает обработку следующих типов событий: accounting events, ACL events, ARP protect events, authentication events, console events, loop protect events.
Barracuda Cloud Email Security Gateway	[OOTB] Barracuda Cloud Email Security Gateway syslog	regexp	Предназначен для обработки событий, поступающих от системы Barracuda Cloud Email Security Gateway по Syslog.
Barracuda Networks NG Firewall	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Barracuda Web Security Gateway	[OOTB] Barracuda Web Security Gateway syslog	Syslog	Предназначен для обработки части событий, поступающих от системы Barracuda Web Security Gateway версии 15.0 по Syslog.
BeyondTrust Privilege Management Console	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
BeyondTrust’s BeyondInsight	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Bifit Mitigator	[OOTB] Bifit Mitigator Syslog	Syslog	Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.
Bloombase StoreSafe	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
BMC CorreLog	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Bricata ProAccel	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Brinqa Risk Analytics	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Broadcom Symantec Advanced Threat Protection (ATP)	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Broadcom Symantec Endpoint Protection	[OOTB] Broadcom Symantec Endpoint Protection	regexp	Предназначен для обработки событий от системы Symantec Endpoint Protection.
Broadcom Symantec Endpoint Protection Mobile	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Broadcom Symantec Threat Hunting Center	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Brocade Fabric OS	[OOTB] Brocade Fabric OS syslog	Syslog	Предназначен для обработки событий Brocade Fabric OS версии 9.1, поступающих по Syslog.
Canonical LXD	[OOTB] Canonical LXD syslog	Syslog	Предназначен для обработки событий, поступающих по Syslog от системы Canonical LXD версии 5.18.
Checkpoint	[OOTB] Checkpoint syslog	Syslog	[OOTB] Checkpoint syslog - предназначен для обработки событий, поступающих от межсетевого экрана Checkpoint версии R81 по протоколу Syslog.
Cisco Access Control Server (ACS)	[OOTB] Cisco ACS syslog	regexp	Предназначен для обработки событий системы Cisco Access Control Server (ACS), поступающих по Syslog.
Cisco ASA	[OOTB] Cisco ASA and IOS syslog	Syslog	Предназначен для некоторых событий Cisco ASA и устройств под управлением Cisco IOS, поступающих по Syslog.
Cisco Email Security Appliance (WSA)	[OOTB] Cisco WSA AccessFile	regexp	Предназначен для обработки журнала событий прокси-сервера Cisco Email Security Appliance (WSA), файл access.log.
Cisco ESA syslog	[OOTB] Cisco ESA syslog	Syslog	Предназначен для обработки некоторых типов событий, полученных от Cisco ESA версии 16.0 по Syslog.
Cisco Firepower Threat Defense	[OOTB] Cisco ASA and IOS syslog	Syslog	Предназначен для обработки событий для сетевых устройств Cisco ASA, Cisco IOS, Cisco Cisco Firepower Threat Defense (версия 7.2), поступающих по Syslog.
Cisco Identity Services Engine (ISE)	[OOTB] Cisco ISE syslog	regexp	Предназначен для обработки событий системы Cisco Identity Services Engine (ISE), поступающих по Syslog.
Cisco IOS	[OOTB] Cisco ASA and IOS syslog	Syslog	Предназначен для некоторых событий Cisco ASA и устройств под управлением Cisco IOS, поступающих по Syslog.
Cisco Netflow v5	[OOTB] NetFlow v5	netflow5	Предназначен для обработки событий, поступающих Cisco Netflow версии 5.
Cisco NetFlow v9	[OOTB] NetFlow v9	netflow9	Предназначен для обработки событий, поступающих Cisco Netflow версии 9.
Cisco Prime	[OOTB] Cisco Prime syslog	Syslog	Предназначен для обработки событий системы Cisco Prime версии 3.10, поступающих по Syslog.
Cisco Secure Email Gateway (SEG)	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Cisco Secure Firewall Management Center	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Cisco WLC	[OOTB] Cisco WLC syslog	regexp	Нормализатор для некоторых типов событий, поступающих от сетевых устройств Cisco WLC (2500 Series Wireless Controllers, 5500 Series Wireless Controllers, 8500 Series Wireless Controllers, Flex 7500 Series Wireless Controllers) по Syslog.
Cisco WSA	[OOTB] Cisco WSA file, [OOTB] Cisco WSA syslog	regexp	[OOTB] Cisco WSA file - нормализатор предназначен для обработки журнала событий прокси-сервера Cisco WSA (версии 14.2, 15.0). Нормализатор поддерживает обработку событий, сформированных с использованием шаблона: %t %e %a %w/%h %s %2r %A %H/%d %c %D %Xr %?BLOCK_SUSPECT_USER_AGENT,MONITOR_SUSPECT_USER_AGENT?%<User-Agent:%!%-%. %) %q %k %u %m [OOTB] Cisco WSA syslog - нормализатор предназначен для обработки событий, поступающих от системы Cisco WSA (версия 15.0) по Syslog.
Citrix NetScaler	[OOTB] Citrix NetScaler syslog	regexp	Предназначен для обработки событий, поступающих от балансировщика нагрузки Citrix NetScaler версии 13.7, Citrix ADC версии NS13.0.
Claroty Continuous Threat Detection	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
CloudPassage Halo	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Codemaster Mirada	[OOTB] Codemaster Mirada syslog	Syslog	Предназначен для обработки событий системы Codemaster Mirada, поступающих по Syslog.
CollabNet Subversion Edge	[OOTB] CollabNet Subversion Edge syslog	Syslog	Предназначен для обработки событий, поступающих от системы Subversion Edge (версия 6.0.2) по Syslog.
CommuniGate Pro	[OOTB] CommuniGate Pro	regexp	Предназначен для обработки событий системы CommuniGate Pro версии 6.1, передаваемых агентом KUMA по протоколу TCP.
Corvil Network Analytics	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Cribl Stream	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
CrowdStrike Falcon Host	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
CyberArk Privileged Threat Analytics (PTA)	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
CyberPeak Spektr	[OOTB] CyberPeak Spektr syslog	Syslog	Предназначен для обработки событий системы CyberPeak Spektr версии 3, поступающих по Syslog.
Cyberprotect Cyber Backup	[OOTB] Cyberprotect Cyber Backup SQL [OOTB] Cyberprotect Cyber Backup syslog	sql, regexp	[OOTB] Cyberprotect Cyber Backup SQL - нормализатор, предназначенный для обработки событий, полученных коннектором из базы данных системы Кибер Бэкап (версия 16.5). [OOTB] Cyberprotect Cyber Backup syslog - нормализатор, предназначенный для обработки событий, поступающих в формате CEF от системы Кибер Бэкап (версия 17.2) по Syslog. Пакет доступен для KUMA версии 3.2 и выше.
Deep Instinct	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Delinea Secret Server	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Dell Network Switch	[OOTB] Dell Network Switch syslog	regexp	Предназначен для обработки некоторых типов событий, полученных от сетевых коммутаторов Dell по Syslog.
Digital Guardian Endpoint Threat Detection	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
DNS сервер BIND	[OOTB] BIND Syslog [OOTB] BIND file	Syslog regexp	[OOTB] BIND Syslog предназначен для обработки событий DNS-сервера BIND, поступающих по Syslog. [OOTB] BIND file предназначен для обработки журналов событий DNS-сервера BIND.
Docsvision	[OOTB] Docsvision syslog	Syslog	Предназначен для обработки событий аудита, поступающих от системы Docsvision по Syslog.
Dovecot	[OOTB] Dovecot Syslog	Syslog	Предназначен для обработки событий почтового сервера Dovecot, поступающих по Syslog. Источник событий – журналы POP3/IMAP.
Dragos Platform	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Dr.Web Enterprise Security Suite	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий Dr.Web Enterprise Security Suite версии 13.0.1 в формате CEF.
EclecticIQ Intelligence Center	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Edge Technologies AppBoard and enPortal	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Eltex ESR	[OOTB] Eltex ESR syslog	Syslog	Предназначен для обработки части событий, поступающих от сетевых устройств Eltex ESR по Syslog.
Eltex MES	[OOTB] Eltex MES syslog	regexp	Предназначен для обработки событий, поступающих от сетевых устройств Eltex MES (поддерживаемые модели устройств: MES14xx, MES24xx, MES3708P) по Syslog.
Eset Protect	[OOTB] ESET Protect syslog CEF	Syslog	Предназначен для обработки событий, поступающих в формате CEF от системы ESET Protect (версия 11.0) по Syslog. Пакет доступен для KUMA версии 3.2 и выше.
Extreme Networks Summit Wireless Controller	[OOTB] Extreme Networks Summit Wireless Controller	regexp	Нормализатор для некоторых событий аудита устройства Extreme Networks Summit Wireless Controller (модель: WM3700, версия прошивки: 5.5.5.0-018R).
Factor-TS Dionis NX	[OOTB] Factor-TS Dionis NX syslog	regexp	Предназначен для обработки некоторых событий аудита, поступающих от системы Dionis NX (версия 2.0.3) по Syslog.
F5 Advanced Web Application Firewall	[OOTB] F5 Advanced Web Application Firewall syslog	regexp	Предназначен для обработки событий аудита, поступающих от системы F5 Advanced Web Application Firewall по Syslog.
F5 BigIP Advanced Firewall Manager (AFM)	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
FFRI FFR yarai	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
FireEye CM Series	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
FireEye Malware Protection System	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Forcepoint NGFW	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Forcepoint SMC	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Fortinet FortiAnalyzer	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий, поступающих от системы Fortinet FortiAnalyzer версии 7.0, 7.2 по Syslog в формате CEF.
Fortinet FortiGate	[OOTB] Syslog-CEF	regexp	Предназначен для обработки событий, поступающих от системы Fortinet FortiGate (версия FortiOS 6.4) по Syslog в формате CEF.
Fortinet FortiGate	[OOTB] FortiGate syslog KV	Syslog	Предназначен для обработки событий, поступающих от межсетевых экранов FortiGate (версия 7.0) по Syslog. Источник событий - журналы FortiGate в формате key-value.
Fortinet Fortimail	[OOTB] Fortimail	regexp	Предназначен для обработки событий системы защиты электронной почты FortiMail. Источник событий – журналы почтовой системы Fortimail.
Fortinet FortiSOAR	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
FreeBSD	[OOTB] FreeBSD file	regexp	Предназначен для обработки событий операционной системы FreeBSD (версия 13.1-RELEASE), хранящихся в файле. Нормализатор поддерживает обработку файлов, полученных в результате работы утилиты praudit. Пример: praudit -xl /var/audit/AUDITFILE >> file_name.log
FreeIPA	[OOTB] FreeIPA	json	Предназначен для обработки событий, поступающих от системы FreeIPA. Источник событий – журналы службы каталогов Free IPA.
FreeRADIUS	[OOTB] FreeRADIUS syslog	Syslog	Предназначен для обработки событий системы FreeRADIUS, поступающих по Syslog. Нормализатор поддерживает события от FreeRADIUS версии 3.0.
GajShield Firewall	[OOTB] GajShield Firewall syslog	regexp	Предназначен для обработки части событий, поступающих от системы GajShield Firewall версии GAJ_OS_Bulwark_Firmware_v4.35 по Syslog.
Garda Monitor	[OOTB] Garda Monitor syslog	Syslog	Предназначен для обработки событий системы Garda Monitor версии 3.4, поступающих по Syslog.
Gardatech Garda DB	[OOTB] Gardatech GardaDB syslog	Syslog	Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, 5.4, поступающих по Syslog.
Gardatech Perimeter	[OOTB] Gardatech Perimeter syslog	Syslog	Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, поступающих по Syslog.
Gigamon GigaVUE	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
HAProxy	[OOTB] HAProxy syslog	Syslog	Предназначен для обработки журналов системы HAProxy. Нормализатор поддерживает события типа HTTP log, TCP log, Error log от HAProxy версии 2.8.
HashiCorp Vault	[OOTB] HashiCorp Vault json	json	Предназначен для обработки событий, поступающих от системы HashiCorp Vault версии 1.16 в формате JSON. Пакет с нормализатором доступен в KUMA 3.0 и выше.
Huawei Eudemon	[OOTB] Huawei Eudemon	regexp	Предназначен для обработки событий, поступающих от межсетевых экранов Huawei Eudemon. Источник событий – журналы межсетевых экранов Huawei Eudemon.
Huawei iManager 2000	[OOTB] Huawei iManager 2000 file	regexp	Нормализатор, поддерживающий обработку части событий системы Huawei iManager 2000, хранящихся в файлах \client\logs\rpc, \client\logs\deploy\ossDeployment.
Huawei USG	[OOTB] Huawei USG Basic	Syslog	Предназначен для обработки событий, поступающих от шлюзов безопасности Huawei USG по Syslog.
Huawei VRP	[OOTB] Huawei VRP syslog	regexp	Предназначен для обработки некоторых типов событий системы Huawei VRP, поступающих по Syslog. Нормализатор осуществляет выборку части данных из событий. Нормализатор доступен в KUMA 3.0 и выше.
IBM InfoSphere Guardium	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Ideco UTM	[OOTB] Ideco UTM Syslog	Syslog	Предназначен для обработки событий, поступающих от Ideco UTM по Syslog. Нормализатор поддерживает обработку событий Ideco UTM версии 14.7, 14.10, 17.5.
Illumio Policy Compute Engine (PCE)	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Imperva Incapsula	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Imperva SecureSphere	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Indeed Access Manager	[OOTB] Indeed Access Manager syslog	Syslog	Предназначен для обработки событий, поступающих от системы Indeed Access Manager по Syslog.
Indeed PAM	[OOTB] Indeed PAM syslog	Syslog	Предназначен для обработки событий Indeed PAM (Privileged Access Manager) версии 2.6.
Indeed SSO	[OOTB] Indeed SSO xml	xml	Предназначен для обработки событий системы Indeed SSO (Single Sign-On). Нормализатор поддерживает работу с KUMA 2.1.3 и выше.
InfoWatch Person Monitor	[OOTB] InfoWatch Person Monitor SQL	sql	Предназначен для обработки системных событий аудита из СУБД MS SQL системы InfoWatch Person Monitor версии 10.2.
InfoWatch Traffic Monitor	[OOTB] InfoWatch Traffic Monitor SQL	sql	Предназначен для обработки событий, полученных коннектором из базы данных системы InfoWatch Traffic Monitor.
Intralinks VIA	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
IPFIX	[OOTB] IPFIX	ipfix	Предназначен для обработки событий в формате IP Flow Information Export (IPFIX).
Juniper JUNOS	[OOTB] Juniper-JUNOS	regexp	Нормализатор для событий Juniper - JUNOS (версия 24.2), поступающих по Syslog.
Kaspersky Anti Targeted Attack (KATA)	[OOTB] KATA	cef	Предназначен для обработки алертов или событий из журнала активности Kaspersky Anti Targeted Attack.
Kaspersky CyberTrace	[OOTB] CyberTrace	regexp	Предназначен для обработки событий Kaspersky CyberTrace.
Kaspersky DFI	[OOTB] Kaspersky DFI json	json	Предназначен для обработки событий аудита системы Kaspersky DFI в формате JSON. Нормализатор поддерживает обработку событий, сформированных коннектором KUMA "dfi". Доступен в наборе ресурсов для KUMA версии 4.0.
Kaspersky Endpoint Detection and Response (KEDR)	[OOTB] KEDR telemetry	json	Предназначен для обработки телеметрии Kaspersky EDR, размеченных KATA. Источник событий – kafka, EnrichedEventTopic.
Kaspersky Endpoint Security for Linux	[OOTB] KESL syslog cef	Syslog	Предназначен для обработки событий, поступающих от Kaspersky Endpoint Security for Linux (KESL) версии 12.2 в формате CEF по Syslog.
KICS/KATA	[OOTB] KICS4Net v2.x	cef	Предназначен для обработки событий KICS/KATA версии 2.х.
KICS/KATA	[OOTB] KICS4Net v3.x	Syslog	Предназначен для обработки событий KICS/KATA версии 3.х.
KICS/KATA 4.2	[OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog	Syslog	Предназначен для обработки событий, поступающих от системы KICS/KATA версии 4.2 по Syslog.
KISG	[OOTB] Kaspersky KISG syslog	Syslog	Предназначен для обработки событий, поступающих от системы Kaspersky IoT Secure Gateway (KISG) версии 3.0 по Syslog.
Kaspersky NDR	[OOTB] Kaspersky NDR syslog	Syslog	Нормализатор предназначен для обработки событий, поступающих от системы Kaspersky NDR версии 7.0 по Syslog. Пакет доступен для KUMA версии 3.2 и выше.
Kaspersky Security Center	[OOTB] KSC	cef	Предназначен для обработки событий Kaspersky Security Center в формате CEF.
Kaspersky Security Center	[OOTB] KSC from SQL	sql	Предназначен для обработки событий, полученных коннектором из базы данных системы Kaspersky Security Center.
Kaspersky Security for Linux Mail Server (KLMS)	[OOTB] KLMS Syslog CEF	Syslog	Предназначен для обработки событий, поступающих от Kaspersky Security for Linux Mail Server в формате CEF по Syslog.
Kaspersky Security for MS Exchange SQL	[OOTB] Kaspersky Security for MS Exchange SQL	sql	Нормализатор для событий системы Kaspersky Security for Exchange (KSE) версия 9.0, хранящихся в БД.
Kaspersky Secure Mail Gateway (KSMG)	[OOTB] KSMG syslog CEF [OOTB] KSMG 2.1+ syslog CEF	Syslog	[OOTB] KSMG syslog CEF - Нормализатор для обработки событий KSMG версии 2.0 в формате CEF по Syslog. [OOTB] KSMG 2.1+ syslog CEF - Нормализатор для обработки событий, поступающих от системы KSMG версии 2.1.1 в формате CEF по Syslog.
Kaspersky Web Traffic Security (KWTS)	[OOTB] KWTS Syslog CEF	Syslog	Предназначен для обработки событий, поступающих от Kaspersky Web Traffic Security в формате CEF по Syslog.
Kaspersky Web Traffic Security (KWTS)	[OOTB] KWTS (KV)	Syslog	Предназначен для обработки событий Kaspersky Web Traffic Security для формата Key-Value.
Kemptechnologies LoadMaster	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Kerio Control	[OOTB] Kerio Control	Syslog	Предназначен для обработки событий межсетевых экранов Kerio Control.
KUMA	[OOTB] KUMA forwarding	json	Предназначен для обработки событий, перенаправленных из KUMA.
LastLine Enterprise	[OOTB] LastLine Enterprise syslog cef	Syslog	Предназначен для обработки событий, поступающих от системы LastLine Enterprise версии 7.3, 8.1, 9.1 по Syslog в формате CEF.
Libvirt	[OOTB] Libvirt syslog	Syslog	Предназначен для обработки событий Libvirt версии 8.0.0, поступающих по Syslog.
Lieberman Software ERPM	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Linux	[OOTB] Linux audit and iptables Syslog v1	Syslog	Предназначен для обработки событий операционной системы Linux. Нормализатор не поддерживает обработку событий в формате ENRICHED.
Linux auditd	[OOTB] Linux auditd syslog for KUMA 3.2	Syslog	Предназначен для обработки событий аудита (пакет auditd) операционной системы Linux, поступающих по Syslog. Нормализатор поддерживает работу с событиями, обработанными коллектором KUMA версии 3.2 и выше.
Linux auditd	[OOTB] Linux auditd file for KUMA 3.2	regexp	Предназначен для обработки событий аудита (пакет auditd) операционной системы Linux, хранящихся в файле. Нормализатор поддерживает работу с событиями, обработанными коллектором KUMA версии 3.2 и выше.
MariaDB	[OOTB] MariaDB Audit Plugin Syslog	Syslog	Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog.
McAfee Endpoint DLP	[OOTB] McAfee Endpoint DLP syslog	Syslog	Предназначен для обработки событий, поступающих от системы McAfee Endpoint DLP Windows версии 11.10.200 по Syslog. Пакет доступен для KUMA версии 3.2 и выше.
Microsoft Active Directory Federation Service (AD FS)	[OOTB] Microsoft Products for KUMA 3	xml	Предназначен для обработки событий Microsoft AD FS. Нормализатор [OOTB] Microsoft Products for KUMA 3 поддерживает работу с данным источником событий в KUMA 3.0.1 и выше.
Microsoft Active Directory Domain Service (AD DS)	[OOTB] Microsoft Products for KUMA 3	xml	Предназначен для обработки событий Microsoft AD DS. Нормализатор [OOTB] Microsoft Products for KUMA 3 поддерживает работу с данным источником событий в KUMA 3.0.1 и выше.
Microsoft Defender	[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN	xml	Предназначен для обработки событий системы Microsoft Defender.
Microsoft DHCP	[OOTB] MS DHCP file	regexp	Предназначен для обработки событий от DHCP-сервера Microsoft. Источник событий – журналы DHCP сервера Windows.
Microsoft DNS	[OOTB] DNS Windows [OOTB] Microsoft DNS ETW logs json	regexp	Нормализатор [OOTB] DNS Windows предназначен для обработки событий DNS сервера Microsoft. Источник событий – журналы DNS сервера Windows. Нормализатор не поддерживает обработку событий журнала отладки с включенной опцией Details. Нормализатор [OOTB] Microsoft DNS ETW logs json предназначен для обработки части событий аудита Microsoft DNS Server, предоставляемых ETW-провайдером. Пакет доступен для KUMA версии 3.2 и выше.
Microsoft Exchange	[OOTB] Exchange CSV	csv	Предназначен для обработки журнала событий системы Microsoft Exchange. Источник событий – журналы MTA сервера Exchange.
Microsoft Hyper-V	[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN	xml	Предназначен для обработки событий операционной системы Microsoft Windows. Источник событий – журналы Microsoft Hyper-V: Microsoft-Windows-Hyper-V-VMMS-Admin, Microsoft-Windows-Hyper-V-Compute-Operational, Microsoft-Windows-Hyper-V-Hypervisor-Operational, Microsoft-Windows-Hyper-V-StorageVSP-Admin, Microsoft-Windows-Hyper-V-Hypervisor-Admin, Microsoft-Windows-Hyper-V-VMMS-Operational, Microsoft-Windows-Hyper-V-Compute-Admin.
Microsoft IIS	[OOTB] IIS Log File Format	regexp	Нормализатор обрабатывает события в формате, описанном по ссылке: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging. Источник событий – журналы Microsoft IIS.
Microsoft Network Policy Server (NPS)	[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN	xml	Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий – события Network Policy Server.
Microsoft Office 365	[OOTB] Microsoft Office 365 json	json	Нормализатор для обработки некоторых типов событий аудита Microsoft Office 365. Нормализатор поддерживает обработку некоторых типов событий аудита, поступающих от систем Microsoft Teams, Azure Active Directory, SharePoint. Пакет доступен для KUMA версии 3.4 и выше.
Microsoft SCCM	[OOTB] Microsoft SCCM file	regexp	Предназначен для обработки событий системы Microsoft SCCM версии 2309. Нормализатор поддерживает обработку части событий, хранящихся в файле AdminService.log.
Microsoft SharePoint Server	[OOTB] Microsoft SharePoint Server diagnostic log file	regexp	Нормализатор поддерживает обработку части событий системы Microsoft SharePoint Server (версия SharePoint Server 2016), хранящихся в диагностических журналах.
Microsoft Sysmon	[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN	xml	Нормализатор предназначен для обработки событий модуля Microsoft Sysmon.
Microsoft Windows 7, 8.1, 10, 11	[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN	xml	Предназначен для обработки части событий из журналов Security, System, Application операционной системы Microsoft Windows. Нормализатор [OOTB] Microsoft Products via KES WIN поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA от Kaspersky Endpoint Security для Windows 12.6 по Syslog.
Microsoft-Windows-DNS-Server-Audit	[OOTB] Microsoft Products for KUMA 3	xml	Предназначен для обработки событий журнала Microsoft-Windows-DNS-Server-Audit в формате XML.
Microsoft-Windows-PowerShell	[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN	xml	Предназначен для обработки событий журналов PowerShell операционной системы Microsoft Windows.
Microsoft-Windows-PowerShell-Operational	[OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN	xml	Предназначен для обработки событий журналов PowerShell-Operational операционной системы Microsoft Windows. Нормализатор [OOTB] Microsoft Products via KES WIN поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA от Kaspersky Endpoint Security для Windows 12.6 по Syslog.
Microsoft SQL Server	[Deprecated][OOTB] Microsoft SQL Server xml	xml	Предназначен для обработки событий MS SQL Server версии 2008, 2012, 2014, 2016. Нормализатор поддерживает работу с KUMA 2.1.3 и выше.
Microsoft SQL Server, Microsoft SQL Server Express	[OOTB] Microsoft Products for KUMA 3	xml	Предназначен для обработки событий MS SQL Server версии 2008 и новее.
Microsoft Windows Remote Desktop Services	[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN	xml	Предназначен для обработки событий операционной системы Microsoft Windows. Источник событий - журнал Applications and Services Logs - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational. Нормализатор [OOTB] Microsoft Products via KES WIN поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA от Kaspersky Endpoint Security для Windows 12.6 по Syslog.
Microsoft Windows Service Control Manager	[OOTB] Microsoft Products for KUMA 3 [OOTB] Microsoft Products via KES WIN	xml	Нормализатор предназначен для обработки событий журналов Service Control Manager (журнал System) операционной системы Microsoft Windows.
Microsoft Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022	[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN	xml	Предназначен для обработки части событий из журналов Security, System операционной системы Microsoft Windows Server. Нормализатор [OOTB] Microsoft Products via KES WIN поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA от Kaspersky Endpoint Security для Windows 12.6 по Syslog.
Microsoft Windows XP/2003	[OOTB] SNMP. Windows {XP/2003}	json	Предназначен для обработки событий, поступающих от рабочих станций и серверов под управлением операционных систем Microsoft Windows XP, Microsoft Windows 2003 с использованием протокола SNMP.
Microsoft WSUS	[OOTB] Microsoft WSUS file	regexp	Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, 5.4, поступающих по Syslog.
MikroTik	[OOTB] MikroTik syslog	regexp	Предназначен для событий, поступающих от устройств MikroTik по Syslog.
Minerva Labs Minerva EDR	[OOTB] Minerva EDR	regexp	Предназначен для обработки событий от EDR системы Minerva.
MongoDB	[OOTB] MongoDb syslog	Syslog	Предназначен для обработки части событий, поступающих от базы данных MongoDB версии 7.0 по Syslog.
Multifactor Radius Server for Windows	[OOTB] Multifactor Radius Server for Windows syslog	Syslog	Предназначен для обработки событий, поступающих от системы Multifactor Radius Server версии 1.0.2 для Microsoft Windows по протоколу Syslog.
MySQL 5.7	[OOTB] MariaDB Audit Plugin Syslog	Syslog	Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog.
NetApp ONTAP (AFF, FAM)	[OOTB] NetApp syslog, [OOTB] NetApp file	regexp	[OOTB] NetApp syslog - предназначен для обработки событий системы NetApp (версия - ONTAP 9.12), поступающих по Syslog. [OOTB] NetApp file - предназначен для обработки событий системы NetApp (версия - ONTAP 9.12), хранящихся в файле.
NetApp SnapCenter	[OOTB] NetApp SnapCenter file	regexp	Предназначен для обработки части событий системы NetApp SnapCenter (версия SnapCenter Server 5.0). Нормализатор поддерживает обработку части событий из файла C:\Program Files\NetApp\SnapCenter WebApp\App_Data\log\napManagerWeb..log. Типы поддерживаемых событий в формате xml из файла SnapManagerWeb..log: SmDiscoverPluginRequest, SmDiscoverPluginResponse, SmGetDomainsResponse, SmGetHostPluginStatusRequest, SmGetHostPluginStatusResponse, SmGetHostRequest, SmGetHostResponse, SmRequest. Нормализатор поддерживает обработку части событий из файла C:\Program Files\NetApp\SnapCenter WebApp\App_Data\log\audit.log
NetIQ Identity Manager	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
NetScout Systems nGenius Performance Manager	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Netskope Cloud Access Security Broker	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Netwrix Auditor	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Netwrix Endpoint Protector	[OOTB] Netwrix Endpoint Protector syslog	regexp	Предназначен для обработки событий, поступающих от системы Netwrix Endpoint Protector (версия 5.9) по Syslog. Пакет доступен для KUMA версии 3.2 и выше.
Nextcloud	[OOTB] Nextcloud syslog	Syslog	Предназначен для событий Nextcloud версии 26.0.4, поступающих по Syslog. Нормализатор не сохраняет информацию из поля Trace.
Nexthink Engine	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Nginx	[OOTB] Nginx regexp	regexp	Предназначен для обработки журнала событий веб-сервера Nginx в формате Combined. Нормализатор поддерживает обработку событий, поступающих по Syslog и хранящихся в файле. Пакет доступен для KUMA версии 3.2 и выше.
NIKSUN NetDetector	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
One Identity Privileged Session Management	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
OpenLDAP	[OOTB] OpenLDAP	regexp	Предназначен для построчной обработки части событий системы OpenLDAP версия 2.5, файл auditlog.ldif.
Open VPN	[OOTB] OpenVPN file	regexp	Предназначен для обработки журнала системы OpenVPN.
Oracle	[OOTB] Oracle Audit Trail	sql	Предназначен для обработки событий аудита БД, полученных коннектором непосредственно из базы данных Oracle.
OrionSoft Termit	[OOTB] OrionSoft Termit syslog	Syslog	Предназначен для обработки событий, поступающих от системы OrionSoft Termit версии 2.2 по Syslog.
Orion soft zVirt	[OOTB] Orion Soft zVirt syslog	regexp	Предназначен для обработки событий системы виртуализации Orion soft zVirt версии 3.1.
PagerDuty	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Palo Alto Cortex Data Lake	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Palo Alto Networks NGFW	[OOTB] PA-NGFW (Syslog-CSV)	Syslog	Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog в формате CSV.
Palo Alto Networks PANOS	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Parsec ParsecNet	[OOTB] Parsec ParsecNet	sql	Предназначен для обработки событий, полученных коннектором из базы данных системы Parsec ParsecNet версии 3.
Passwork	[OOTB] Passwork syslog	Syslog	Предназначен для обработки событий, поступающих от системы Passwork версии 050219 по Syslog.
Penta Security WAPPLES	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Positive Technologies ISIM	[OOTB] PTsecurity ISIM	regexp	Предназначен для обработки событий от системы PT Industrial Security Incident Manager.
Positive Technologies Network Attack Discovery (NAD)	[OOTB] PT NAD json	json	Предназначен для обработки событий, поступающий от PT NAD в формате json. Нормализатор поддерживает обработку событий PT NAD версий 11.1, 11.0.
Positive Technologies Sandbox	[OOTB] PTsecurity Sandbox	regexp	Предназначен для обработки событий системы PT Sandbox.
Positive Technologies Web Application Firewall	[OOTB] PTsecurity WAF	Syslog	Предназначен для обработки событий, поступающих от системы PTsecurity (Web Application Firewall).
Postfix	[OOTB] Postfix syslog	regexp	Пакет [OOTB] Postfix содержит набор ресурсов для обработки событий Postfix версии 3.6. Поддерживается обработка Syslog-событий, поступающих по протоколу TCP. Пакет доступен для KUMA 3.0 и более новых версий.
PostgreSQL pgAudit	[OOTB] PostgreSQL pgAudit Syslog	Syslog	Предназначен для обработки событий плагина аудита pgAudit для базы данных PostgreSQL, поступающих по Syslog.
PowerDNS	[OOTB] PowerDNS syslog	Syslog	Предназначен для обработки событий PowerDNS Authoritative Server версии 4.5, поступающих по Syslog.
Proftpd	[OOTB] Proftpd syslog	regexp	Предназначен для обработки событий, поступающих от системы Proftpd версии 1.3.8c по Syslog.
Proofpoint Insider Threat Management	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Proxmox	[OOTB] Proxmox file	regexp	Предназначен для событий системы Proxmox версии 7.2-3, хранящихся в файле. Нормализатор поддерживает обработку событий в журналах access и pveam.
PT NAD	[OOTB] PT NAD json	json	Предназначен для обработки событий, поступающий от PT NAD в формате json. Нормализатор поддерживает обработку событий PT NAD версий 11.1, 11.0.
QEMU - журналы гипервизора	[OOTB] QEMU - Hypervisor file	regexp	Предназначен для обработки событий гипервизора QEMU, хранящихся в файле. Поддерживаются версии QEMU 6.2.0, Libvirt 8.0.0.
QEMU - журналы виртуальных машин	[OOTB] QEMU - Virtual Machine file	regexp	Предназначен для обработки событий из журналов виртуальных машин гипервизора QEMU версии 6.2.0, хранящихся в файле.
Radware DefensePro AntiDDoS	[OOTB] Radware DefensePro AntiDDoS	Syslog	Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.
Reak Soft Blitz Identity Provider	[OOTB] Reak Soft Blitz Identity Provider file	regexp	Предназначен для обработки событий системы Reak Soft Blitz Identity Provider версии 5.16, хранящихся в файле.
RedCheck Desktop	[OOTB] RedCheck Desktop file	regexp	Предназначен для обработки журналов системы RedCheck Desktop версии 2.6, хранящихся в файле.
RedCheck WEB	[OOTB] RedCheck WEB file	regexp	Предназначен для обработки журналов системы RedCheck WEB версии 2.6, хранящихся в файлах.
RED SOFT RED ADM	[OOTB] RED SOFT RED ADM syslog	regexp	Предназначен для обработки событий, поступающих от системы RED ADM (версия РЕД АДМ: Промышленная редакция 1.1) по Syslog. Нормализатор поддерживает обработку событий: - подсистемы управления; - контроллера.
ReversingLabs N1000 Appliance	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Rubicon Communications pfSense	[OOTB] pfSense Syslog	Syslog	Предназначен для обработки событий, поступающих от межсетевого экрана pfSense, поступающих по Syslog.
Rubicon Communications pfSense	[OOTB] pfSense w/o hostname	Syslog	Предназначен для обработки событий, поступающих от межсетевого экрана pfSense. Syslog-заголовок этих событий не содержит имени хоста.
SailPoint IdentityIQ	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
SecurityCode Continent 3.9	[OOTB] SecurityCode Continent 3.9 json	json	Нормализатор для событий системы SecurityCode Continent версии 3.9.2, поступающих от утилиты kuma-kont в формате json. Пакет доступен для KUMA версии 3.4 и выше.
SecurityCode Continent 4	[OOTB] SecurityCode Continent 4 syslog	regexp	Предназначен для обработки событий системы SecurityCode Continent версии 4, поступающих по Syslog.
Sendmail	[OOTB] Sendmail syslog	Syslog	Предназначен для обработки событий Sendmail версии 8.15.2, поступающих по Syslog.
SentinelOne	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Skype for Business	[OOTB] Microsoft Products for KUMA 3	xml	Предназначен для обработки части событий из журнала системы Skype for Business, журнал Lync Server.
Snort	[OOTB] Snort 3 json file	json	Предназначен для обработки событий Snort версии 3 в формате JSON.
Sophos Central	[OOTB] Sophos Central syslog	Syslog	Предназначен для обработки части событий, поступающих от системы Sophos Central версии 1.2 по Syslog в формате CEF от интеграционного скрипта Sophos-Central-SIEM-Integration.
Sonicwall TZ	[OOTB] Sonicwall TZ Firewall	Syslog	Предназначен для обработки событий, поступающих по Syslog от межсетевого экрана Sonicwall TZ.
Solar webProxy	[OOTB] Solar WebProxy syslog	regexp	Предназначен для обработки событий, поступающих от Solar webProxy версии 4.2 в формате siem-log по Syslog.
SolarWinds DameWare MRC	[OOTB] SolarWinds DameWare MRC xml	xml	Нормализатор, поддерживающий обработку части событий системы DameWare Mini Remote Control (MRC) версия 7.5, хранящихся в журнале Application операционной системы Windows. Нормализатор обрабатывает события, создаваемые провайдером dwmrcs.
SolarWinds SFTP & SCP Server file	[OOTB] SolarWinds SFTP & SCP Server file	regexp	Предназначен для обработки журнала событий SolarWinds SFTP & SCP Server (версия 2.2), хранящегося в файле SftpServer.log. Пакет доступен для KUMA версии 3.2 и выше.
Sophos Firewall	[OOTB] Sophos Firewall syslog	regexp	Предназначен для обработки событий, поступающих от Sophos Firewall версии 20 по Syslog.
Sophos XG	[OOTB] Sophos XG	regexp	Предназначен для обработки событий от межсетевого экрана Sophos XG.
Squid	[OOTB] Squid access Syslog	Syslog	Предназначен для обработки событий прокси-сервера Squid, поступающих по протоколу Syslog.
Squid	[OOTB] Squid access.log file	regexp	Предназначен для обработки событий журнала Squid прокси-сервера Squid. Источник событий – журналы access.log
Staffcop Enterprise	[OOTB] Staffcop Enterprise syslog CEF	regexp	Предназначен для обработки событий, поступающих от Staffcop Enterprise версии 5.4, 5.5 в формате CEF по Syslog.
S-Terra VPN Gate	[OOTB] S-Terra	Syslog	Предназначен для обработки событий от устройств S-Terra VPN Gate.
Suricata	[OOTB] Suricata json file	json	Пакет содержит нормализатор для событий Suricata версии 7.0.1, хранящихся в файле в формате JSON. Нормализатор поддерживает обработку следующих типов событий: flow, anomaly, alert, dns, http, ssl, tls, ftp, ftp_data, ftp, smb, rdp, pgsql, modbus, quic, dhcp, bittorrent_dht, rfb.
ThreatConnect Threat Intelligence Platform	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
ThreatQuotient	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Tionix Cloud Platform	[OOTB] Tionix Cloud Platform syslog	Syslog	Предназначен для обработки событий системы Tionix Cloud Platform версии 2.9, поступающих по Syslog. Нормализатор осуществляет выборку части данных из событий. Нормализатор доступен в KUMA 3.0 и выше.
Tionix VDI	[OOTB] Tionix VDI file	regexp	Нормализатор, поддерживающий обработку части событий системы Tionix VDI (версия 2.8), хранящихся в файле tionix_lntmov.log.
TrapX DeceptionGrid	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Trend Micro Control Manager	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Trend Micro Deep Security	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Trend Micro NGFW	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Trustwave Application Security DbProtect	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Unbound	[OOTB] Unbound Syslog	Syslog	Предназначен для обработки событий, поступающих по Syslog от DNS-сервера Unbound.
UserGate	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF, поступающих от системы UserGate по Syslog.
Varonis DatAdvantage	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Veriato 360	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
ViPNet TIAS	[OOTB] Vipnet TIAS syslog	Syslog	Предназначен для обработки событий системы ViPNet TIAS версии 3.8, поступающих по Syslog.
VK WorkSpace Mail	[OOTB] VK WorkSpace Mail syslog	Syslog	Нормализатор для обработки событий, поступающих от системы VK WorkSpace Mail версии 1.23 по Syslog в формате key-value.
VMware ESXi	[OOTB] VMware ESXi syslog	regexp	Предназначен для обработки событий VMware ESXi (поддержка ограниченного количества событий от ESXi с версиями 5.5, 6.0, 6.5, 7.0), поступающих по Syslog.
VMWare Horizon	[OOTB] VMWare Horizon - Syslog	Syslog	Предназначен для обработки событий, поступающих от системы VMWare Horizon версии 2106 по Syslog.
VMwareCarbon Black EDR	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Vmware Vcenter	[OOTB] VMware Vcenter API	xml	Предназначен для обработки событий VMware Vcenter версии 7, получаемых по API.
Vormetric Data Security Manager	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Votiro Disarmer for Windows	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Vsftpd	[OOTB] Vsftpd syslog	regexp	Предназначен для обработки событий, поступающих от системы Vsftpd версии 3.0.5 по Syslog.
Wallix AdminBastion	[OOTB] Wallix AdminBastion syslog	regexp	Предназначен для событий, поступающих от системы Wallix AdminBastion по Syslog.
WatchGuard - Firebox	[OOTB] WatchGuard Firebox	Syslog	Предназначен для обработки событий межсетевых экранов WatchGuard Firebox, поступающих по Syslog.
Webroot BrightCloud	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Windchill FRACAS	[OOTB] PTC Winchill Fracas	regexp	Предназначен для обработки событий системы регистрации сбоев Windchill FRACAS.
Yandex Browser корпоративный	[OOTB] Yandex Browser	json	Предназначен для обработки событий, поступающих от корпоративной версии Яндекс Браузера версии 23, 24.4, 25.2.
Yandex Cloud	[OOTB] Yandex Cloud	regexp	Предназначенный для обработки части событий аудита системы Yandex Cloud. Нормализатор поддерживает обработку событий аудитного журнала уровня конфигурации: IAM (Yandex Identity and Access Management), Compute (Yandex Compute Cloud), Network (Yandex Virtual Private Cloud), Storage (Yandex Object Storage), Resourcemanager (Yandex Resource Manager).
Zabbix	[OOTB] Zabbix SQL	sql	Предназначен для обработки событий Zabbix версии 6.4.
Zecurion DLP	[OOTB] Zecurion DLP syslog	regexp	Предназначен для обработки событий системы Zecurion DLP версии 12.0, поступающих по Syslog.
ZEEK IDS	[OOTB] ZEEK IDS json file	json	Предназначен для обработки журналов системы ZEEK IDS в формате JSON. Нормализатор поддерживает события от ZEEK IDS версии 1.8.
Zettaset BDEncrypt	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
Zscaler Nanolog Streaming Service (NSS)	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF.
АйТи Бастион – СКДПУ	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF, поступающих от системы АйТи Бастион - СКДПУ по Syslog.
А-реал Интернет Контроль Сервер (ИКС)	[OOTB] A-real IKS syslog	regexp	Предназначен для обработки событий системы А-реал Интернет Контроль Сервер (ИКС), поступающих по Syslog. Нормализатор поддерживает события от A-real IKS версии 7.0 и выше.
Веб-сервер Apache	[OOTB] Apache HTTP Server file	regexp	Предназначен для обработки событий Apache HTTP Server версии 2.4, хранящихся в файле. Нормализатор поддерживает обработку событий журнала Application в форматах Common или Combined Log, и журнала Error. Ожидаемый формат журнала Error: `[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i`
Веб-сервер Apache	[OOTB] Apache HTTP Server syslog	Syslog	Предназначен для обработки событий системы Apache HTTP Server, поступающих по Syslog. Нормализатор поддерживает обработку событий Apache HTTP Server версии 2.4 журнала Access в формате Common или Combined Log, и журнала Error. Ожидаемый формат событий журнала Error: `[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i`
Веб-сервер Lighttpd	[OOTB] Lighttpd syslog	Syslog	Предназначен для обработки событий Access системы Lighttpd, поступающих по Syslog. Нормализатор поддерживает обработку событий Lighttpd версии 1.4. Ожидаемый формат событий журнала Access: `$remote_addr $http_request_host_name $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"`
ИВК Кольчуга-К	[OOTB] Kolchuga-K Syslog	Syslog	Предназначен для обработки событий, поступающих от системы ИВК Кольчуга-К, версии ЛКНВ.466217.002 по Syslog.
ИнфоТеКС ViPNet IDS	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF, поступающих от системы ИнфоТеКС ViPNet IDS по Syslog.
ИнфоТеКС ViPNet Coordinator	[OOTB] VipNet Coordinator Syslog	Syslog	Предназначен для обработки событий от системы ViPNet Coordinator, поступающих по Syslog.
Код безопасности - Континент	[OOTB][regexp] Continent IPS/IDS & TLS	regexp	Предназначен для обработки журнала событий устройств Континент IPS/IDS.
Код безопасности - Континент	[OOTB] Continent SQL	sql	Предназначен для получения событий системы Континент из базы данных.
Код Безопасности SecretNet 7	[OOTB] SecretNet SQL	sql	Предназначен для обработки событий, полученных коннектором из базы данных системы SecretNet.
Конфидент - Единый центр управления Dallas Lock	[OOTB] Confident Dallas Lock syslog CEF	regexp	Предназначен для обработки событий, поступающих от системы Единый центр управления (ЕЦУ) Dallas Lock, версия 4.0 в формате CEF.
КриптоПро NGate	[OOTB] Ngate Syslog	Syslog	Предназначен для обработки событий, поступающих от системы КриптоПро NGate по Syslog.
Маршрутизаторы H3C (Huawei-3Com)	[OOTB] H3C Routers syslog	regexp	Нормализатор для некоторых типов событий, поступающих от сетевых устройств H3C (Huawei-3Com) SR6600 (прошивка Comware 7) по Syslog. Нормализатор поддерживает формат событий standard (RFC 3164-compliant format).
НТ Мониторинг и аналитика	[OOTB] Syslog-CEF	Syslog	Предназначен для обработки событий в формате CEF, поступающих от системы НТ Мониторинг и аналитика по Syslog.
Прокси-сервер BlueCoat	[OOTB] BlueCoat Proxy v0.2	regexp	Предназначен для обработки событий прокси-сервера BlueCoat. Источник событий – журнал событий прокси-сервера BlueCoat.
СКДПУ НТ Шлюз доступа	[OOTB] Bastion SKDPU-GW syslog	Syslog	Нормализатор для обработки событий системы СКДПУ НТ Шлюз доступа версии 7.0, поступающих по Syslog.
Солар Дозор	[OOTB] Solar Dozor Syslog	Syslog	Предназначен для обработки событий, поступающих от системы Солар Дозор версии 7.9 по Syslog. Нормализатор поддерживает обработку событий в пользовательском формате и не поддерживает обработку событий в формате CEF.
-	[OOTB] Syslog header	Syslog	Предназначен для обработки событий, поступающих по Syslog. Нормализатор выполняет парсинг Syslog-заголовка события, поле message события не затрагивается. В случае необходимости вы можете выполнить парсинг поля message другими нормализаторами.

Правила агрегации

Правила агрегации позволяют объединить однотипные повторяющиеся события и заменить их одним общим событием. В правилах агрегации поддерживается работа с полями стандартной схемы событий KUMA и с полями расширенной схемы событий. Таким образом вы можете уменьшить количество схожих событий, передаваемых в хранилище и/или коррелятор, снизить нагрузку на сервисы, сэкономить место для хранения данных и сэкономить лицензионную квоту (EPS). Агрегационное событие создается по достижении порога по времени или порога по числу событий, смотря что произойдет раньше.

Для правил агрегации можно настроить фильтр и применять его только к событиям, которые соответствуют заданным условиям.

Вы можете настроить правила агрегации в разделе Ресурсы → Правила агрегации, а затем выбрать созданное правило агрегации в раскрывающемся списке в параметрах коллектора. Правила агрегации также можно настроить напрямую в параметрах коллектора. Доступные параметры правила агрегации описаны в таблице ниже.

Доступные параметры правила агрегации

Параметр		Описание

Название	Уникальное имя ресурса. Максимальная длина имени: до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Предел событий	Ограничение по количеству событий. После накопления заданного количества событий с идентичными полями коллектор создает агрегационное событие и начинает накопление событий для следующего агрегированного события. Значение по умолчанию: `100`.
Время ожидания событий	Ограничение по времени в секундах. По истечении указанного срока накопление базовых событий прекращается, коллектор создает агрегированное событие и начинает сбор событий для следующего агрегированного события. Значение по умолчанию: `60`. Обязательный параметр.
Описание	Описание ресурса. Максимальная длина описания: 4000 символов в кодировке Unicode.
Группирующие поля	Поля нормализованных событий, значения которых должны совпадать. Например, для сетевых событий могут использоваться поля нормализованных событий `SourceAddress`, `DestinationAddress` и `DestinationPort`. В итоговом агрегационном событии поля нормализованных событий будут заполнены значениями базовых событий. Обязательный параметр.
Уникальные поля	Поля нормализованных событий, значения которых должны быть уникальными для того, чтобы эти события учитывались в агрегированном событии. Если значение поля, указанного в Уникальные поля, дублируется в нескольких событиях, только одно из таких событий попадет в агрегированное событие, а повторы будут проигнорированы. Если в Уникальные поля вы укажете более одного поля, то уникальными должны быть сочетания значений всех этих полей. Уникальные поля не сохраняются в агрегированном событии.
Поля суммы	Поля, значения которых при агрегации будут просуммированы и записаны в одноименные поля агрегированного события. Существуют следующие особенности поведения полей: значения полей с типами `Число` и `Число с плавающей точкой` суммируются; значения полей с типом `Строка` конкатенируются через запятую; значения полей с типами `Массив строк`, `Массив чисел` и `Массив чисел с плавающей точкой` добавляются в конец массива.
Фильтр	Условия определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать в раскрывающемся списке существующий фильтр или Создать, чтобы создать новый фильтр. Не используйте в правилах агрегации фильтры с операндом TI или операторами TIDetect, inActiveDirectoryGroup и hasVulnerability. Поля `Active Directory`, для которых используется оператор inActiveDirectoryGroup, появляются на этапе обогащения, то есть после выполнения правил агрегации. Создание фильтра в ресурсах Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

В поставку KUMA включены перечисленные в таблице ниже правила агрегации.

Предустановленные правила агрегации

Название правила агрегации

Описание

[OOTB] Netflow 9

Правило сработает при достижении 100 событий или по истечении 10 секунд.

Агрегация событий выполняется по следующим полям:

DestinationAddress
DestinationPort
SourceAddress
TransportProtocol
DeviceVendor
DeviceProduct

Поля DeviceCustomString1 и BytesIn суммируются.

Правила обогащения

Обогащение событий – это дополнение событий информацией, которая может быть использована для выявления инцидента и при проведении расследования.

Правила обогащения позволяют добавлять в поля события дополнительную информацию путем преобразования данных, уже размещенных в полях, или с помощью запроса данных из внешних систем. Например, в событии есть имя учетной записи пользователя. С помощью правила обогащения вы можете добавить сведения об отделе, должности и руководителе этого пользователя в поля события.

Правила обогащения можно использовать в следующих сервисах и функциях KUMA:

Коллектор. В коллекторе можно создать правило обогащения и оно станет ресурсом, доступным для переиспользования в других сервисах. Также можно привязать правило обогащения, созданное как отдельный ресурс.
Коррелятор. В корреляторе можно создать правило обогащения и оно станет ресурсом, доступным для переиспользования в других сервисах. Также можно привязать правило обогащения, созданное как отдельный ресурс.
Нормализатор. В нормализаторе можно только создать правило обогащения, которое будет привязано только к нормализатору и не будет доступно как отдельный ресурс для использования в других сервисах.

Доступные параметры правил обогащения перечислены в таблице ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип источника данных

Обязательный параметр.

Раскрывающийся список для выбора типа входящих событий. В зависимости от выбранного типа отображаются дополнительные параметры:

Доступные параметры типа обогащения

Параметр	Описание
Константа	Значение, которое требуется добавить в поле события. Максимальная длина значения: до 255 символов в кодировке Unicode. Если оставить поле пустым, существующее значение поля события будет удалено.
Целевое поле	Поле события KUMA, в которое требуется поместить данные.

Доступные параметры типа обогащения

Параметр	Описание
Название словаря	Словарь, из которого будут браться значения.
Ключевые поля	Поля событий, значения которых будут использоваться для выбора записи словаря. Для добавления поля события нажмите на кнопку Добавить поле. Вы можете добавить несколько полей событий.

Доступные параметры типа обогащения

Параметр

Описание

Название словаря

Словарь, из которого будут браться значения.

Ключевые поля

Сопоставление

Поля событий для передачи данных:

Поле словаря – поля словаря, из которых будут передаваться данные. Доступные поля зависят от выбранного ресурса словаря.
Поле KUMA – поля событий, в которые будут передаваться данные. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись вы можете задать название для помещаемых данных.

событие
Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:
- В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
- В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
- В блоке параметров Преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA. Тип преобразования можно выбрать в раскрывающемся списке. С помощью кнопок Добавить преобразование и Удалить можно добавить или удалить преобразование. Порядок преобразований имеет значение.
  Доступные преобразования
  Преобразования – это изменения, которые применяются к значению перед записью в поле события. Вы можете выбрать в раскрывающемся списке один из следующих типов преобразования:
  - entropy – используется для преобразования значения исходного поля с помощью функции вычисления информационной энтропии и помещения результата преобразования в целевое поле типа float. Результатом преобразования будет число. Показатель вычисления информационной энтропии позволяет выявлять DNS-туннели и компрометацию паролей, например когда пользователь ввел пароль вместо логина и пароль записывается в журнал в открытом виде.
  - lower – используется для перевода всех символов значения в нижний регистр.
  - upper – используется для перевода всех символов значения в верхний регистр.
  - regexp – используется для преобразования значения с помощью указанного регулярного выражения RE2. При выборе этого типа преобразования отображается поле, в котором вам нужно указать регулярное выражение RE2.
  - substring – используется для извлечения символов в указанном диапазоне позиций. При выборе этого типа преобразования отображаются поля Начало и Конец, в которых вам нужно указать диапазон позиций.
  - replace – используется для замены указанной последовательности символов на другую последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
    Символы на замену – последовательность символов, которую требуется заменить.
    Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
  - trim – используется для удаления указанных символов одновременно с начала и с конца значения поля события. При выборе этого типа преобразования отображается поле Символы, в котором вам нужно указать символы. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, новым значением будет soft-Windows-Sys.
  - append – используется для добавления указанных символов в конец значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
  - prepend – используется для добавления указанных символов к началу значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
  - replace with regexp – используется для замены результатов регулярного выражения RE2 на указанную последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
    Выражение – регулярное выражение RE2, результаты которого требуется заменить.
    Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
  - Конвертация закодированных строк в текст:
    decodeHexString – используется для конвертации HEX-строки в текст.
    decodeBase64String – используется для конвертации Base64-строки в текст.
    decodeBase64URLString – используется для конвертации Base64url-строки в текст.
    При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.
    
    При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, строка будет обрезана и не будет раскодирована.
    
    Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, строка будет обрезана до размера этого поля события.
  Преобразования при использовании расширенной схемы событий
  
  Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:
  - для дополнительного поля с типом Строка доступны все типы преобразования.
  - для полей с типами Число и Число с плавающей точкой доступны следующие типы преобразования: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String и decodeBase64URLString.
  - для полей с типами Массив строк, Массив чисел и Массив чисел с плавающей точкой доступны следующие типы преобразования: append и prepend.

Создание фильтра в ресурсах

Доступные параметры типа обогащения

Параметр	Описание
Шаблон	Шаблон Go. Имена полей событий передаются в формате `{{.EventField}}`, где `EventField` – это название поля события, значение которого должно быть передано в скрипт, например `Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}`.
Целевое поле	Поле события KUMA, в которое требуется поместить данные.

{{.SA.StringArrayOne}}
{{- range $index, $element := . SA.StringArrayOne -}}
{{- if $index}}, {{end}}"{{$element}}"{{- end -}}

template {{toString .SA.StringArray}}

dns
Этот тип обогащения используется для отправки запросов на DNS-сервер частной сети для преобразования IP-адресов в доменные имена или наоборот. Преобразование IP-адресов в DNS-имена происходит только для частных адресов: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 100.64.0.0/10.

Доступные параметры:
- URL – в этом поле можно указать URL DNS-сервера, которому вы хотите отправлять запросы. С помощью кнопки Добавить URL можно указать несколько URL.
- Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
- Рабочие процессы – максимальное количество запросов в один момент времени. Значение по умолчанию: 1.
- Количество задач – максимальное количество одновременно выполняемых запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
- Срок жизни кеша – время жизни значений, хранящихся в кеше. Значение по умолчанию: 60.
- Кеш отключен – с помощью этого раскрывающегося списка можно включить или отключить кеширование. По умолчанию кеширование включено.
- Требуется рекурсия - параметр доступен начиная с KUMA 3.4.1. С помощью переключателя можно включить отправку коллектором KUMA рекурсивных запросов к авторитативным DNS-серверам для выполнения обогащения. Значение по умолчанию: Выключено.
cybertrace
Для систем с большой нагрузкой на коллектор или коррелятор рекомендуется использовать тип обогащения cybertrace-http.

Этот тип обогащения используется для добавления в поля события сведений из потоков данных CyberTrace.

Доступные параметры:
- URL (обязательно) – в этом поле можно указать URL сервера CyberTrace, которому вы хотите отправлять запросы. Порт CyberTrace по умолчанию 9999.
- Количество подключений – максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
- Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
- Время ожидания – время ожидания отклика от сервера CyberTrace в секундах. Значение по умолчанию: 30.
- Максимальное кол-во событий в очереди обогащения – максимальное количество событий, сохраняемое в очереди для переотправки. Значение по умолчанию: 1 000 000.
- Сопоставление (обязательно) – этот блок параметров содержит таблицу сопоставления полей событий KUMA с типами индикаторов CyberTrace. В столбце Поле KUMA указаны названия полей событий KUMA, а в столбце Индикатор CyberTrace указаны типы индикаторов CyberTrace.
  Доступные типы индикаторов CyberTrace:
  - ip
  - url
  - hash
  В таблице сопоставления требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки – удалить.
cybertrace-http
Это новый тип потокового обогащения событий в CyberTrace, который позволяет отправлять большое количество событий одним запросом на API-интерфейс CyberTrace. Мы рекомендуем применять в системах с большим потоком событий. Производительность cybertrace-http превосходит показатели типа cybertrace.

Ограничения:
- Тип обогащения cybertrace-http неприменим для ретроспективного сканирования в KUMA.
- В случае использования типа обогащения cybertrace-http обнаружения киберугроз не сохраняются в истории CyberTrace в окне Detections.
- При обогащении типа cybertrace-http отправляются запросы POST lookup, не поддерживающие режим мультитенантности.
Доступные параметры:
- URL (обязательно) – в этом поле можно указать URL сервера CyberTrace, которому вы хотите отправлять запросы и порт, который использует API CyberTrace. Порт по умолчанию 443.
- Секрет (обязательно) – раскрывающийся список для выбора секрета, в котором хранятся учетные данные для подключения.
- Время ожидания – время ожидания отклика от сервера CyberTrace в секундах. Значение по умолчанию: 30.
- Ключевые поля (обязательно) – список полей событий, используемых для обогащения событий данными из CyberTrace.
- Максимальное кол-во событий в очереди обогащения – максимальное количество событий, сохраняемое в очереди для переотправки. Значение по умолчанию: 1 000 000. По достижении 1 млн получаемых событий от сервера CyberTrace события перестают обогащаться, пока число получаемых событий не станет меньше 500 тыс.
часовой пояс
Этот тип обогащения используется в коллекторах и корреляторах для присваивания событию определенного часового пояса. Сведения о часовом поясе могут пригодиться при поиске событий, случившихся в нетипичное время, например ночью.

При выборе этого типа обогащения в раскрывающемся списке Часовой пояс необходимо выбрать требуемую временную зону.

Убедитесь, что требуемый часовой пояс установлен на сервере сервиса, использующего обогащение. Например, это можно сделать с помощью команды timedatectl list-timezones, которая показывает все установленные на сервере часовые пояса. Подробнее об установке часовых поясов смотрите в документации используемой вами операционной системы.

При обогащении события в поле события DeviceTimeZone записывается смещение времени выбранного часового пояса относительно всемирного координированного времени (UTC) в формате +-чч:мм. Например, если выбрать временную зону Asia/Yekaterinburg в поле DeviceTimeZone будет записано значение +05:00. Если в обогащаемом событии есть значение поля DeviceTimeZone, оно будет перезаписано.

По умолчанию, если в обрабатываемом событии не указан часовой пояс и не настроены правила обогащения по часовому поясу, событию присваивается часовой пояс сервера, на котором установлен сервис (коллектор или коррелятор), обрабатывающий событие. При изменении времени сервера сервис необходимо перезапустить.

Допустимые форматы времени при обогащении поля DeviceTimeZone

При обработке в коллекторе поступающих сырых событий следующие форматы времени могут быть автоматически приведены к формату +-чч:мм:

Формат времени в обрабатываемом событии

Пример

+-чч:мм

-07:00

+-ччмм

-0700

+-чч

-07

Если формат даты в поле DeviceTimeZone отличается от указанных выше, при обогащении события сведениями о часовом поясе в поле записывается часовой пояс серверного времени коллектора. Вы можете создать особые правила нормализации для нестандартных форматов времени.
геоданные
Этот тип обогащения используется для добавления в поля событий сведений о географическом расположении IP-адресов. Подробнее о привязке IP-адресов к географическим данным.

При выборе этого типа в блоке параметров Сопоставление геоданных с полями события необходимо указать, из какого поля события будет считан IP-адрес, а также выбрать требуемые атрибуты геоданных и определить поля событий, в которые геоданные будут записаны:
1. В раскрывающемся списке Поле события с IP-адресом выберите поле события, из которого считывается IP-адрес. По этому IP-адресу будет произведен поиск соответствий по загруженным в KUMA геоданным.
  С помощью кнопки Добавить поле события с IP-адресом можно указать несколько полей события с IP-адресами, по которым требуется обогащение геоданными. Удалить добавленные таким образом поля событий можно с помощью кнопки Удалить поле события с IP-адресом.
  
  При выборе полей события SourceAddress, DestinationAddress и DeviceAddress становится доступна кнопка Применить сопоставление по умолчанию. С ее помощью можно добавить преднастроенные пары соответствий атрибутов геоданных и полей события.
2. Для каждого поля события, откуда требуется считать IP-адрес, выберите тип геоданных и поле события, в которое следует записать геоданные.
  С помощью кнопки Добавить атрибут геоданных вы можете добавить пары полей Атрибут геоданных – Поле события для записи. Так вы можете настроить запись разных типов геоданных одного IP-адреса в разные поля события. Пары полей можно удалить с помощью значка .
  - В поле Атрибут геоданных выберите, какие географические сведения, соответствующие считанному IP-адресу, необходимо записать в событие. Доступные атрибуты геоданных: Страна, Регион, Город, Долгота, Широта.
  - В поле Поле события для записи выберите поле события, в которое необходимо записать выбранный атрибут геоданных.
  Вы можете записать одинаковые атрибуты геоданных в разные поля событий. Если вы настроите запись нескольких атрибутов геоданных в одно поле события, событие будет обогащено последним по очереди сопоставлением.

Отладка

Переключатель, с помощью которого можно включить логирование операций сервиса. По умолчанию логирование выключено.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Фильтр

Блок параметров, в котором можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Чтобы создать фильтр:

В раскрывающемся списке Фильтр выберите Создать.
Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
В блоке параметров Условия укажите условия, которым должны соответствовать события:
1. Нажмите на кнопку Добавить условие.
2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
3. В раскрывающемся списке Оператор выберите оператор.
  Операторы фильтров
  - = – левый операнд равен правому операнду.
  - < – левый операнд меньше правого операнда.
  - <= – левый операнд меньше или равен правому операнду.
  - > – левый операнд больше правого операнда.
  - >= – левый операнд больше или равен правому операнду.
  - inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
  - contains – левый операнд содержит значения правого операнда.
  - startsWith – левый операнд начинается с одного из значений правого операнда.
  - endsWith – левый операнд заканчивается одним из значений правого операнда.
  - match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
  - hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
    Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
    
    Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
  - hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
    Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
  - inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
  - inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
  - inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
  - inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
  - TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
  - inContextTable – присутствует ли в указанной контекстной таблице запись.
  - intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Предустановленные правила обогащения

В поставку KUMA включены перечисленные в таблице ниже правила обогащения.

Предустановленные правила обогащения

Название правила обогащения

Описание

[OOTB] KATA alert

Используется для обогащения событий, поступивших от KATA в виде гиперссылки на алерт.

Гиперссылка размещается в поле DeviceExternalId.

Правила сбора и анализа данных

Правила сбора и анализа данных используются для обнаружения инцидентов путем анализа событий, сохраненных в базе данных KUMA.

В отличие от потоковой корреляции и запуска ретроспективной проверки, правила сбора и анализа данных предусматривают предварительную обработку данных с помощью SQL-запросов (в том числе выполнение дополнительных вычислений, группировку и агрегацию через SQL) и регулярный запуск по расписанию. При наличии корректно настроенных правил сбора и анализа данных SIEM может помочь вам в обнаружении сложных атак.

Для работы с разделом вам необходимо иметь одну из следующих ролей: Главный администратор, Администратор тенанта, Аналитик первого уровня, Аналитик второго уровня.

При создании и изменении правил сбора и анализа данных требуется задать значения для параметров, указанных в таблице ниже.

Доступные параметры правила сбора и анализа данных

Параметр	Описание
Название	Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Тенант	Обязательный параметр. Название тенанта, которому принадлежит ресурс. Если у вас есть доступ только к одному тенанту, поле заполняется автоматически. Если у вас есть доступ к нескольким тенантам, подставляется название первого тенанта из списка доступных вам тенантов. Вы можете выбрать любой тенант из этого списка.
Sql	Обязательный параметр. SQL-запрос должен содержать функцию агрегации c ограничением LIMIT и/или группировку данных c ограничением LIMIT. Значение LIMIT должно быть от 1 до 10 000. Примеры SQL-запросов: Запрос, содержащий только функцию агрегации: SELECT count(DeviceCustomFloatingPoint1) AS `Aggregate` FROM `events` WHERE Type = 1 ORDER BY Aggregate DESC LIMIT 10 Запрос, содержащий только группировку данных: SELECT SourceAddress,DeviceCustomFloatingPoint1 FROM `events` WHERE Type = 1 GROUP BY SourceAddress, DeviceCustomFloatingPoint1 ORDER BY DeviceCustomFloatingPoint1 DESC LIMIT 10 Запрос, содержащий функцию агрегации и групировку данных: SELECT SourceAddress, sum(DeviceCustomFloatingPoint1) FROM `events` WHERE Type = 1 GROUP BY SourceAddress, DeviceCustomFloatingPoint1 ORDER BY DeviceCustomFloatingPoint1 DESC LIMIT 10 Запрос, содержащий выражение из функций агрегации: SELECT stddevPop(DeviceCustomFloatingPoint1) + avg(DeviceCustomFloatingPoint1) AS `Aggregate` FROM `events` WHERE Type = 1 ORDER BY Aggregate DESC LIMIT 10 Вы также можете использовать наборы SQL-функци `enrich` и `lookup`.
Частота запуска запроса	Обязательный параметр. Интервал выполнения SQL-запроса. Вы можете указать интервал в минутах, часах и днях. Минимальный интервал – 1 минута. Время ожидания ответа на SQL-запрос по умолчанию равно интервалу, который вы задаете в этом поле. Если выполнение SQL-запроса превышает время ожидания, возникает ошибка. В этом случае рекомендуется увеличить интервал. Например, если значение интервала равно 1 минуте, при этом запрос выполняется 80 секунд, то рекомендуется увеличить значение интервала как минимум до 90 секунд.
Теги	Необязательный параметр. Теги для поиска ресурса.
Глубина	Необязательный параметр. Выражение для определения нижней границы интервала поиска событий в базе данных. Чтобы выбрать значение из списка либо задать глубину в формате относительного интервала, установите курсор в поле. Например, если вы хотите находить все события за период, прошедший с текущего момента назад на один час, установите относительный интервал `now-1h`.
Описание	Необязательный параметр. Описание правила сбора и анализа данных.
Сопоставление	Параметры для настройки сопоставления полей результата SQL-запроса с событиями КUMA: Исходное поле – поле результата SQL-запроса, которое вы хотите преобразовать в событие КUMA. Поле события – поле события КUMA. Вы можете выбрать одно из доступных значений в списке, установив курсор мыши в это поле. Подпись – уникальная пользовательская метка полей событий, которые начинаются с DeviceCustom*. Вы можете добавлять новые строки таблицы и удалять строки таблицы. Для добавления новой строки таблицы нажмите на кнопку Добавить сопоставление. Для удаления строки установите флажок рядом с нужной строкой и нажмите на кнопку . Если вы не хотите заполнять поля вручную, вы можете нажать на кнопку Добавить сопоставление из SQL. Значения полей SQL запроса, включая псевдонимы (при наличии), подставятся в таблицу сопоставления полей. Например, если поле в SQL-запросе имеет значение `SourceAddress` и это значение совпадает с названием поля события, это значение проставляется в столбце Поле события в таблице сопоставления полей. При повторном нажатии на кнопку Добавить сопоставление из SQL таблица не обновляется, а значения полей SQL запроса добавляются в нее повторно.

Вы можете создавать правило сбора и анализа данных одним из следующих способов:

В разделе Ресурсы→Ресурсы и сервисы→Правила сбора и анализа данных.
В разделе События.

Чтобы создать правило сбора и анализа данных в разделе События:

Создайте или сформируйте SQL-запрос и нажмите на кнопку .
В браузере откроется новая вкладка создания правила сбора и анализа данных с предзаполненными полями SQL запрос и Глубина. Таблица сопоставления полей также будет заполнена автоматически, если в SQL-запросе вы не использовали звездочку (*).
Заполните обязательные поля.
Если необходимо, вы можете изменить значение в поле Частота запуска запроса.
Сохраните параметры.

Правило сбора и анализа данных сохранено и доступно в разделе Ресурсы и сервисы→Правила сбора и анализа данных. Чтобы правило сбора и анализа данных выполнялось, вам нужно создать для него планировщик.

Настройка планировщика для правила сбора и анализа данных

Чтобы правило сбора и анализа данных выполнялось, вам нужно создать для него планировщик.

Планировщик направляет SQL-запросы в заданные вами разделы хранилища с интервалом и глубиной поиска, который вы настраиваете в правиле, а затем преобразует результаты SQL-запросов в базовые события и направляет в коррелятор.

Результаты SQL-запросов, преобразованные в базовые события, не попадают в хранилище.

Для корректной работы планировщика необходимо настроить связь между правилом сбора и анализа данных, хранилищем и корреляторами в разделе Ресурсы → Сбор и анализ данных.

Для работы с разделом вам нужно иметь одну из следующих ролей: Главный администратор, Администратор тенанта, Аналитик второго уровня, Доступ к общим ресурсам, Редактирование общих ресурсов.

Планировщики расположены в таблице по дате последнего запуска. Вы можете сортировать данные в столбцах по возрастанию и убыванию, нажав на значок стрелки вниз () в заголовке столбца.

Доступные столбцы таблицы планировщиков:

Название правила – название правила сбора и анализа данных, для которого вы создали планировщик.
Название тенанта – название тенанта, которому принадлежит правило сбора и анализа данных.
Состояние – статус планировщика. Возможны следующие значения:
- Включено – планировщик выполняется, правило сбора и анализа данных будет запускаться по заданному расписанию.
- Выключено – планировщик не выполняется.
  Этот статус планировщик имеет по умолчанию при создании. Чтобы планировщик выполнялся, необходимо перевести его в состояние Включено.
Планировщик завершил работу в – время последнего запуска правила сбора и анализа данных, для которого вы создали планировщик.
Статус выполнения правила – статус, с которым планировщик завершил работу. Возможны следующие значения:
- Ok – планировщик завершил работу без ошибок, правило выполнено.
- Неизвестно – планировщик переведен в состояние Включено, и его статус в данный момент неизвестен. Статус Неизвестно отображается, если вы привязали хранилища и корреляторы на соответствующих вкладках и перевели планировщик в состояние Включено, но еще не запустили.
- Остановлен – планировщик остановлен, правило не выполняется.
- Ошибка – планировщик завершил работу, правило выполнено с ошибкой.
Последняя ошибка – ошибки (при наличии), которые возникли при выполнении правила сбора и анализа данных.

Неуспешная попытка отправки событий в установленный коррелятор не является ошибкой.

На панели инструментов в верхней части таблицы вы можете выполнять действия над планировщиками.

Добавить новый планировщик. Нажмите на кнопку Добавить и в отобразившемся окне установите флажки рядом с названиями правил сбора и анализа данных, для которых вы хотите создать планировщик.
В этом окне вы можете выбрать правило сбора и анализа данных только из ранее созданных. Создать новое правило нельзя.
Удалить планировщик. В таблице планировщиков установите флажки рядом планировщиками, которые вы хотите удалить, и нажмите на кнопку Удалить. Планировщик и привязки удаляются. Правило сбора и анализа данных не удаляется.
Включить планировщик. В таблице планировщиков установите флажки рядом планировщиками, которые вы хотите включить, и нажмите на кнопку Включить по расписанию. Правило сбора и анализа данных, для которого был создан этот планировщик, будет выполняться согласно расписанию, заданному в настройках этого правила.
Отключить планировщик. В таблице планировщиков установите флажки рядом планировщиками, которые вы хотите отключить, и нажмите на кнопку Отключить. Правило сбора и анализа данных временно перестает выполняться, при этом сам планировщик и привязки не удаляются.
Запустить планировщик. В таблице планировщиков установите флажки рядом с включенными планировщиками, и нажмите на кнопку Запустить сейчас. Правило сбора и анализа данных, для которого был создан этот планировщик, выполнится немедленно.

Чтобы изменить параметры планировщика, нажмите на соответствующую строку в таблице.

Доступные параметры планировщика для правил сбора и анализа данных описаны ниже.

Вкладка Общие

На этой вкладке вы можете выполнить следующие действия:

Включить или выключить планировщик с помощью переключателя.
Если переключатель включен, правило сбора и анализа данных будет запускаться по расписанию, заданному в его настройках.
Изменить следующие параметры правила сбора и анализа данных:
- Название
- Частота запуска запроса
- Глубина
- Sql
- Описание
- Сопоставление

Вкладка Привязанные хранилища

На этой вкладке вам нужно задать хранилище, в которое планировщик будет направлять SQL-запросы.

Чтобы задать хранилище:

Нажмите на кнопку Привязать на панели инструментов.
В открывшемся окне укажите название хранилища, к которому вы хотите добавить привязку, а также название раздела выбранного хранилища.
Вы можете выбрать только одно хранилище, но несколько разделов этого хранилища.
Нажмите на кнопку Добавить.

Привязка создана и отображается в таблице на вкладке Привязанные хранилища.

При необходимости вы можете удалить привязки, установив флажки в соответствующих строках таблицы и нажав на кнопку Отвязать выбранные.

Вкладка Привязанные корреляторы

На этой вкладке вам нужно добавить корреляторы для работы с базовыми событиями.

Чтобы добавить коррелятор:

Нажмите на кнопку Привязать на панели инструментов.
В открывшемся окне установите курсор мыши в поле Коррелятор.
В отобразившемся списке корреляторов установите флажки рядом с корреляторами, которые вы хотите добавить.
Нажмите на кнопку Добавить.

Корреляторы добавлены и отображаются в таблице на вкладке Привязанные корреляторы.

При необходимости вы можете удалить корреляторы, установив флажки в соответствующих строках таблицы и нажав на кнопку Отвязать выбранные.

Также вы можете просмотреть результат работы планировщика в журнале Ядра, предварительно настроив режим Отладка в параметрах Ядра. Чтобы скачать журнал, выберите раздел KUMA Ресурсы → Активные сервисы, затем выберите сервис Ядра и нажмите на кнопку Журнал.

Записи с результатом работы планировщика имеют приставку datamining scheduler.

Правило корреляции, тип standard

Правила корреляции

Правила корреляции используются для распознавания определенных последовательностей обрабатываемых событий и выполнения определенных действий после распознавания: например, создание корреляционных событий или алертов, взаимодействие с активным листом.

Правила корреляции можно использовать в следующих сервисах и функциях KUMA:

Коррелятор.
Правило уведомления.
Связи правил сегментации.
Ретроспективная проверка.

Доступные параметры правила корреляции зависят от выбранного типа. Типы правил корреляции:

standard – используется для поиска корреляций между несколькими событиями. Правила этого типа могут создавать корреляционные события.
Этот тип правил используется для определения сложных закономерностей в последовательности событий. Для более простых комбинаций следует использовать другие типы правил корреляции, которые требуют меньше ресурсов.
simple – используется для создания корреляционных событий при обнаружении определенного события.
operational – используется для операций с активными листами и контекстными таблицами. Этот тип правил не может создавать корреляционные события.

Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Если правило корреляции используется в корреляторе и по нему был создан алерт, то при изменении правила корреляции существующий алерт не будет изменен, даже если перезапустить сервис коррелятора. Например, если у правила корреляции было изменено название, название алерта останется прежним. Если существующий алерт закрыть, то новый алерт будет создан уже с учетом изменений правила корреляции.

В этом разделе

Правило корреляции, тип simple

Правило корреляции, тип operational

Переменные в корреляторах

Добавление временного списка исключений для корреляционного правила

Предустановленные правила корреляции

Техники и тактики MITRE ATT&CK

Правило корреляции, тип standard

Поиск закономерностей происходит с помощью контейнеров

Правила корреляции с типом standard используются для определения сложных закономерностей в обрабатываемых событиях.

Контейнеры правила корреляции – это временные хранилища данных, которые используются ресурсами правила корреляции при определении необходимости создания корреляционных событий. Эти контейнеры выполняет следующие функции:

Группируют события, которые были отобраны фильтрами в группе настроек Селекторы ресурса правила корреляции. События группируются по полям, которые указываются пользователем в поле Группирующие поля.
Определяют момент, когда должно сработать правило корреляции, меняя соответствующим образом события, сгруппированные в контейнере.
Выполняют действия, указанные в группе настроек Действия.
Создают корреляционные события.

Доступные состояния контейнера:

Пусто – в контейнере нет событий. Это может произойти только в момент своего создания при срабатывании правила корреляции.
Частичное совпадение – в контейнере есть некоторые из ожидаемых событий (события восстановления не учитываются).
Полное совпадение – в корзине есть все ожидаемые события (события восстановления не учитываются). При достижении этого состояния:
- Срабатывает правило корреляции
- События удаляются из контейнера
- Счетчик срабатываний контейнера обновляется
- Контейнера переводится в состояние Пусто
Ложное совпадение – такое состояние контейнера возможно в следующих случаях:
- когда было достигнуто состояние Полное совпадение, но объединяющий фильтр возвратил значение false.
- когда при установленном флажке Обнуление были получены события восстановления.
Когда это условие достигается, правило корреляции не срабатывает. События удаляются из контейнера, счетчик срабатываний обновляется, контейнер переводится в состояния Пусто.

По сравнению с моделью данных нормализованного события некоторые поля корреляционного события, образованного по правилу корреляции standard, могут отличаться (см. таблицу ниже).

Название поля корреляционного события

Описание

StartTime

Самая ранняя дата и время создания базового события (timestamp) среди всех базовых событий, от которых было образовано корреляционное событие.

EndTime

Более поздняя дата и время из следующих:

Дата и время создания корреляционного события.
Самая поздняя дата и время создания базового события (timestamp) среди всех базовых событий, от которых было образовано корреляционное событие.

Чтобы добавить в корреляционное событие поля из базовых событий, укажите эти поля в параметрах Группирующие поля и Уникальные поля (см.таблицу ниже).

Доступные параметры правила корреляции с типом standard описаны в таблицах ниже.

Вкладка Общие

Эта вкладка используется для указания основных параметров правила корреляции.

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип правила корреляции – standard. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Группирующие поля	Поля событий, которые должны быть сгруппированы в контейнере. Хеш-код значений выбранных полей событий используется в качестве ключа контейнера. Если срабатывает один из селекторов, указанных на вкладке Селекторы, отобранные поля событий копируются в корреляционное событие. Если в разных селекторах корреляционного правила используются поля событий, которые имеют разные значения в событиях, вам не нужно указывать эти поля событий в раскрывающемся списке Группирующие поля. Вы можете указывать локальные переменные. Для обращения к локальной переменной вам нужно указать перед ее именем символ `$`. Для ознакомления с примерами использования локальных переменных используйте правило R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой, поставляемое с KUMA. Обязательный параметр.
Время жизни контейнера, сек.	Время жизни контейнера в секундах. Отсчет времени начинается при создании контейнера, когда контейнер получает первое событие. По истечении времени жизни контейнера срабатывает триггер, указанный на вкладке Действия → По истечении времени жизни контейнера, и контейнер удаляется. Триггеры, указанные на вкладках Действия → На каждом срабатывании правила и На последующих срабатываниях правила, могут срабатывать более одного раза в течение времени жизни контейнера. Обязательный параметр.
Уникальные поля	Уникальные поля событий, которые требуется отправлять в контейнер. Если вы указываете уникальные поля событий, только они будут отправляться в контейнер. Хеш-код значений отобранных полей событий используется в качестве ключа контейнера. Вы можете указывать локальные переменные. Для обращения к локальной переменной вам нужно указать перед ее именем символ `$`. Для ознакомления с примерами использования локальных переменных используйте правило R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой, поставляемое с KUMA.
Частота срабатываний	Максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: `0`. Если не срабатывают правила корреляции, в которых реализована сложная логика обнаружения закономерностей, причиной могут быть особенности подсчета срабатываний правила в KUMA. В этом случае мы рекомендуем увеличить значение в поле Частота срабатываний, например до `1000000`.
Политика хранения базовых событий	Раскрывающийся список, позволяющий определить, какие базовые события требуется поместить в корреляционное событие: first – поместить в корреляционное событие первое базовое событие из коллекции событий, инициировавшей создание корреляционного события. Это значение выбрано по умолчанию. last – поместить в корреляционное событие последнее базовое событие из коллекции событий, инициировавшей создание корреляционного события. all – поместить в корреляционное событие все базовые события из коллекции событий, инициировавшей создание корреляционного события.
Уровень важности	Базовый коэффициент, используемый для определения уровня важности правила корреляции: Критический. Высокий. Средний. Низкий – это значение выбрано по умолчанию.
Сортировать по	Поле события, по которому селекторы правила корреляции будут отслеживать изменение ситуации. Это может пригодиться, например если вы захотите настроить правило корреляции на срабатывание при последовательном возникновении нескольких типов событий.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
Техники MITRE	Загруженные техники MITRE ATT&CK для анализа состояния покрытия безопасности с помощью матрицы MITRE ATT&CK.
Использовать сопоставление уникальных полей	Переключатель, позволяющий сохранять значения уникальных полей в массив и передавать его в одно из полей корреляционного события. Если переключатель включен, в нижней части вкладки Общие отображается дополнительный блок параметров Сопоставление уникальных полей для настройки сопоставления исходных уникальных полей с полями корреляционного события. При обработке события через правило корреляции сначала выполняется сопоставление полей, затем к уже сформированному на основе сопоставления корреляционному событию будут применены операции, указанные на вкладке Действия. По умолчанию переключатель выключен. Необязательный параметр.

Блок параметров Сопоставление уникальных полей

Если необходимо передавать в корреляционное событие значения полей, указанных в параметре Уникальные поля, то этот блок можно использовать для настройки сопоставления уникальных полей с полями корреляционного события. Блок отображается на вкладке Общие, если включен переключатель Использовать сопоставление уникальных полей. Поскольку значения уникальных полей представляют собой массив, поле в корреляционном событии должно иметь соответствующий тип — SA, NA, FA.

Вы можете добавить сопоставление, нажав на кнопку Добавить и выбрав в раскрывающемся списке в столбце Поле исходного события нужное поле. Для выбора доступны поля, указанные в параметре Уникальные поля. В раскрывающемся списке в столбце Поле события назначения вам нужно выбрать поле корреляционного события, в которое должен записываться массив значений исходного поля. Для выбора доступны поля, тип которых соответствует массиву (SA, NA или FA в зависимости от типа исходного поля).

Вы можете удалить одно или несколько сопоставлений, установив флажки рядом с нужными сопоставлениями и нажав на кнопку Удалить.

Вкладка Селекторы

Эта вкладка используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Для добавления селектора нажмите на кнопку + Добавить селектор. Вы можете добавить несколько селекторов, изменить порядок селекторов и удалить селекторы. Для изменения порядка селекторов используйте значки изменения порядка DragIcon . Для удаления селектора нажмите рядом с ним на значок удаления cross-black .

Для каждого селектора доступны вкладки Параметры и Локальные переменные.

Параметры, доступные на вкладке Параметры, описаны в таблице ниже.

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Порог срабатывания селектора (количество событий)	Количество событий, которые требуется получить для срабатывания селектора. Значение по умолчанию: `1`. Обязательный параметр.
Обнуление	Переключатель, позволяющий правилу корреляции не срабатывать при получении селектором количества событий, указанного в поле Порог срабатывания селектора (количество событий). По умолчанию этот переключатель выключен.
Фильтр	Фильтр, указывающий критерии определения событий, при получении которых будет срабатывать селектор. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку . Фильтрация по данным из поля события Extra Условия для фильтров по данным из поля события `Extra`: Условие – Если. Левый операнд – поле события. В поле события вы можете указать одно из следующих значений: Поле `Extra`. Значение из поля `Extra` в следующем формате: `Extra.<название поля>` Например, `Extra.app`. Вам нужно указать значение вручную. Значение из массива, записанного в поле `Extra`, в следующем формате: `Extra.<название поля>.<элемент массива>` Например, `Extra.array.0`. Нумерация значений в массиве начинается с 0. Вам нужно указать значение вручную. Для работы со значением из поля `Extra` на глубине 3 и ниже требуется использовать кавычки ``, например `Extra.lev1.lev2.lev3`. Оператор – =. Правый операнд – константа. Значение – значение, по которому требуется фильтровать события. Последовательность условий, указанных в фильтре селектора корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в фильтре селектора ставить наиболее уникальный критерий отбора. Рассмотрим два примера фильтров селектора, осуществляющих выборку событий успешной аутентификации в Microsoft Windows. Фильтр селектора 1: Условие 1 – `DeviceProduct = Microsoft Windows`. Условие 2 – `DeviceEventClassID = 4624`. Фильтр селектора 2: Условие 1 – `DeviceEventClassID = 4624`. Условие 2 – `DeviceProduct = Microsoft Windows`. Последовательность условий, указанная в фильтре селектора 2, является более предпочтительной, так как показывает меньшую нагрузку на систему.

На вкладке Локальные переменные вы можете добавить переменные, которые будут действовать в пределах правила корреляции. Для добавления переменной нажмите на кнопку + Добавить, после чего укажите переменную и ее значение. Вы можете добавить несколько переменных и удалить переменные. Для удаления переменной установите рядом с ней флажок и нажмите на кнопку Удалить.

В селекторе корреляционного правила могут быть использованы регулярные выражения, соответствующие стандарту RE2. Применение регулярных выражений в корреляционных правилах создаёт большую нагрузку в сравнении с другими операциями. При разработке корреляционных правил мы рекомендуем ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.

Для использования регулярного выражения вам нужно применить оператор сравнения match. Регулярное выражение должно быть размещено в константе. Применение capture-групп в регулярных выражениях не обязательно. Для срабатывания корреляционного правила текст поля, сопоставляемый с regexp, должен полностью совпасть с регулярным выражением.

Для ознакомления с синтаксисом и примерами корреляционных правил, в селекторах которых есть регулярные выражения, вы можете использовать следующие правила, поставляемые с KUMA:

R105_04_Подозрительные PowerShell-команды. Подозрение на обфускацию.
R333_Подозрительное создание файлов в директории автозапуска.

Вкладка Действия

Эта вкладка используется для настройки триггеров правила корреляции. Вы можете настроить триггеры на следующих вкладках:

На первом срабатывании правила – триггер срабатывает, когда контейнер регистрирует первое в течение срока своей жизни срабатывание селектора.
На последующих срабатываниях правила – триггер срабатывает, когда контейнер регистрирует в течение срока своей жизни второе и последующие срабатывания селектора.
На каждом срабатывании правила – триггер срабатывает каждый раз, когда контейнер регистрирует срабатывание селектора.
По истечении времени жизни контейнера – триггер срабатывает по истечении времени жизни контейнера и используется в связке с селектором, в параметрах которого включен переключатель Обнуление. Таким образом, триггер срабатывает, если в течение указанного времени жизни ситуация, обнаруженная правилом корреляции, не разрешается.

Доступные параметры триггеров описаны в таблице ниже.

Параметр

Описание

В дальнейшую обработку

Флажок, включающий отправку корреляционных событий на пост-обработку – на внешнее обогащение вне корреляционного правила, для реагирования и в точки назначения. По умолчанию этот флажок снят.

В коррелятор

Флажок, включающий обработку созданного корреляционного события цепочкой правил текущего коррелятора. Это позволят достичь иерархической корреляции. По умолчанию этот флажок снят.

Если вы устанавливаете флажки В дальнейшую обработку и В коррелятор, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.

Не создавать алерт

Флажок, выключающий создание алертов при срабатывании правила корреляции. По умолчанию этот флажок снят.

Если вы хотите, чтобы алерт не создавался при срабатывании правила корреляции, но корреляционное событие все-равно отправлялось в хранилище, установите флажки В дальнейшую обработку и Не создавать алерт. Если установлен только флажок Не создавать алерт, корреляционное событие не будет сохраняться в хранилище.

Обогащение

Правила обогащения для изменения значений полей корреляционных событий. Правила обогащения хранятся в правиле корреляции, в котором они были созданы. Для создания правила обогащения нажмите на кнопку + Добавить обогащение.

Доступные параметры правила обогащения:

Исходный тип – тип обогащения. При выборе определенных типов обогащения могут стать доступны дополнительные параметры, для которых вам нужно указать значения.

Доступные типы обогащения:

Доступные параметры типа обогащения

Параметр	Описание
Константа	Значение, которое требуется добавить в поле события. Максимальная длина значения: до 255 символов в кодировке Unicode. Если оставить поле пустым, существующее значение поля события будет удалено.
Целевое поле	Поле события KUMA, в которое требуется поместить данные.

Доступные параметры типа обогащения

Параметр	Описание
Название словаря	Словарь, из которого будут браться значения.
Ключевые поля	Поля событий, значения которых будут использоваться для выбора записи словаря. Для добавления поля события нажмите на кнопку Добавить поле. Вы можете добавить несколько полей событий.

Доступные параметры типа обогащения

Параметр

Описание

Название словаря

Словарь, из которого будут браться значения.

Ключевые поля

Сопоставление

Поля событий для передачи данных:

Поле словаря – поля словаря, из которых будут передаваться данные. Доступные поля зависят от выбранного ресурса словаря.
Поле KUMA – поля событий, в которые будут передаваться данные. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись вы можете задать название для помещаемых данных.

событие

Доступные параметры типа обогащения

Параметр	Описание
Целевое поле	Поле события KUMA, в которое требуется поместить данные.
Исходное поле	Поле события, значение которого будет записано в целевое поле.

entropy – используется для преобразования значения исходного поля с помощью функции вычисления информационной энтропии и помещения результата преобразования в целевое поле типа float. Результатом преобразования будет число. Показатель вычисления информационной энтропии позволяет выявлять DNS-туннели и компрометацию паролей, например когда пользователь ввел пароль вместо логина и пароль записывается в журнал в открытом виде.
lower – используется для перевода всех символов значения в нижний регистр.
upper – используется для перевода всех символов значения в верхний регистр.
regexp – используется для преобразования значения с помощью указанного регулярного выражения RE2. При выборе этого типа преобразования отображается поле, в котором вам нужно указать регулярное выражение RE2.
substring – используется для извлечения символов в указанном диапазоне позиций. При выборе этого типа преобразования отображаются поля Начало и Конец, в которых вам нужно указать диапазон позиций.
replace – используется для замены указанной последовательности символов на другую последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
- Символы на замену – последовательность символов, которую требуется заменить.
- Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
trim – используется для удаления указанных символов одновременно с начала и с конца значения поля события. При выборе этого типа преобразования отображается поле Символы, в котором вам нужно указать символы. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, новым значением будет soft-Windows-Sys.
append – используется для добавления указанных символов в конец значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
prepend – используется для добавления указанных символов к началу значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
replace with regexp – используется для замены результатов регулярного выражения RE2 на указанную последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
- Выражение – регулярное выражение RE2, результаты которого требуется заменить.
- Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
Конвертация закодированных строк в текст:
- decodeHexString – используется для конвертации HEX-строки в текст.
- decodeBase64String – используется для конвертации Base64-строки в текст.
- decodeBase64URLString – используется для конвертации Base64url-строки в текст.
При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, строка будет обрезана и не будет раскодирована.

Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, строка будет обрезана до размера этого поля события.

Преобразования при использовании расширенной схемы событий

Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:

для дополнительного поля с типом Строка доступны все типы преобразования.
для полей с типами Число и Число с плавающей точкой доступны следующие типы преобразования: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String и decodeBase64URLString.
для полей с типами Массив строк, Массив чисел и Массив чисел с плавающей точкой доступны следующие типы преобразования: append и prepend.

Если исходное поле расширенной схемы событий имеет тип Массив строк, а целевое поле расширенной схемы событий имеет тип Строка, значения будут размещены в целевом поле расширенной схемы событий в формате TSV.
Пример: в поле расширенной схемы событий SA.StringArray, находятся значения «string1», «string2», «string3». Выполняется операция обогащения событий. Результат выполнения операции обогащения событий заносится в поле расширенной схемы событий DeviceCustomString1. В поле расширенной схемы событий DeviceCustomString1 будут находиться значения [«string1», «string2», «string3»].
Если исходное и целевое поля расширенной схемы событий имеют тип Массив строк, значения целевого поля расширенной схемы событий будут дополнены значениями исходного поля расширенной схемы событий, а качестве символа-разделителя будет использован символ «,».
Пример: в поле расширенной схемы событий SA.StringArrayOne, находятся значения [«string1», «string2», «string3»], а в поле расширенной схемы событий SA.StringArrayTwo находятся значения [«string4», «string5», «string6»]. Выполняется операция обогащения событий. Результат выполнения операции обогащения событий заносится в поле расширенной схемы событий SA.StringArrayTwo. В поле расширенной схемы событий SA.StringArrayTwo будут находиться значения [«string4», «string5», «string6», «string1», «string2», «string3»].

Доступные параметры типа обогащения

Параметр	Описание
Шаблон	Шаблон Go. Имена полей событий передаются в формате `{{.EventField}}`, где `EventField` – это название поля события, значение которого должно быть передано в скрипт, например `Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}`.
Целевое поле	Поле события KUMA, в которое требуется поместить данные.

{{.SA.StringArrayOne}}
{{- range $index, $element := . SA.StringArrayOne -}}
{{- if $index}}, {{end}}"{{$element}}"{{- end -}}

template {{toString .SA.StringArray}}

Обязательный параметр.

Отладка – переключатель, включающий логирование ресурса. По умолчанию этот переключатель выключен.
Теги

Вы можете создать несколько правил обогащения, изменить порядок правил обогащения и удалить правила обогащения. Для изменения порядка правил обогащения используйте значки изменения порядка DragIcon . Для удаления правила обогащения нажмите рядом с ним на значок удаления cross-black .

Изменение категорий

Правила категоризации для изменения категорий активов, указанных в событии. С помощью правил категоризации вы можете привязывать и отвязывать от активов только реактивные категории. Для создания правила категоризации нажмите на кнопку + Добавить категоризацию.

Доступные параметры правила категоризации:

Действие – операция, выполняемая над категорией:
- Добавить – привязать категорию к активу.
- Удалить – отвязать категорию от актива.
Обязательный параметр.
Поле события – поле события, содержащее актив, над которым будет выполнена операция.
Обязательный параметр.
Идентификатор категории – категория, над которой будет совершена операция.
Обязательный параметр.

Вы можете создать несколько правил категоризации, изменить порядок правил категоризации и удалить правила категоризации. Для изменения порядка правил категоризации используйте значки изменения порядка DragIcon . Для удаления правила категоризации нажмите рядом с ним на значок удаления cross-black .

Обновление активных листов

Операции с активными листами. Для создания операции с активным листом нажмите на кнопку + Добавить действие с активным листом.

Доступные параметры операции с активным листом:

Название – активный лист, с которым выполняется операция. Если вы хотите изменить параметры активного листа, нажмите рядом с ним на значок карандаша .
Обязательный параметр.
Операция – операция, которая выполняется с активным листом:
- Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению активного листа.
- Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
- Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
- Удалить – удалить запись из активного листа.
Обязательный параметр.
Ключевые поля – поля события, которые используются для создания записи активного листа. Указанные поля событий также используются в качестве ключа записи активного листа.
Ключ записи активного листа зависит только от состава полей событий и не зависит от порядка их отображения в веб-интерфейсе KUMA.

Обязательный параметр.
Сопоставление – правила сопоставления полей активного листа с полями событий. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы выбрали значение Получить или Установить. Для создания правила сопоставления нажмите на кнопку + Добавить.
Доступные параметры правила сопоставления:
- Поле активного листа – поле активного листа, которое сопоставляется с полем события. Поле не должно содержать специальные символы или только цифры.
- Поле KUMA – поле события, с которым сопоставляется поле активного листа.
- Константа – константа, которая назначается полю активного листа. Вам нужно указать константу, если в раскрывающемся списке Операция вы выбрали значение Установить.
Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Вы можете создать несколько операций с активными листами, изменить порядок операций с активными листами и удалить операции с активными листами. Для изменения порядка операций с активными листами используйте значки изменения порядка DragIcon . Для удаления операции с активным листом нажмите рядом с ней на значок удаления cross-black .

Обновление контекстных таблиц

Операции с контекстными таблицами. Для создания операции с контекстной таблицей нажмите на кнопку + Добавить действие с контекстной таблицей.

Доступные параметры операции с контекстной таблицей:

Название – контекстная таблица, с которой выполняется операция. Если вы хотите изменить параметры контекстной таблицы, нажмите рядом с ней на значок карандаша .
Обязательный параметр.
Операция – операция, которая выполняется с контекстной таблицей:
- Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению указанного поля контекстной таблицы. Операция используется только для полей с типом Число и Число с плавающей точкой.
- Установить – записать значения указанных полей корреляционного события в контекстную таблицу, создав новую или обновив существующую запись контекстной таблицы. При обновлении записи контекстной таблицы данные объединяются, и только указанные поля перезаписываются.
- Объединить – дописать значение поля корреляционного события, локальной переменной или константы к существующему значению поля контекстной таблицы.
- Получить – получить поля контекстной таблицы и записать значения указанных полей в корреляционное событие. Поля таблицы типа булево значение и список булевых значений исключаются из сопоставления, потому что в событии нет полей булева типа.
- Удалить – удалить запись из контекстной таблицы.
Обязательный параметр.
Сопоставление – правила сопоставления полей контекстной таблицы с полями событий или переменными. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы не выбрали значение Удалить. Для создания правила сопоставления нажмите на кнопку + Добавить.
Доступные параметры правила сопоставления:
- Поле контекстной таблицы – поле контекстной таблицы, которое сопоставляется с полем события. Вы не можете указать поле контекстной таблицы, которое уже используется в сопоставлении. Вы можете указать табуляцию, специальные символы или только цифры. Максимальное длина названия поля контекстной таблицы составляет 128 символов. Название поля контекстной таблицы не может начинаться с нижнего подчеркивания.
- Поле KUMA – поле события или локальная переменная, с которой сопоставляется поле контекстной таблицы.
- Константа – константа, которая назначается полю контекстной таблицы. Вам нужно указать константу, если в раскрывающемся списке Операция вы выбрали значение Установить, Объединить или Сложить. Максимальное длина константы составляет 1024 символа.
Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Вы можете создать несколько операций с контекстными таблицами, изменить порядок операций с контекстными таблицами и удалить операции с контекстными таблицами. Для изменения порядка операций с контекстными таблицами используйте значки изменения порядка DragIcon . Для удаления операции с контекстной таблицей нажмите рядом с ней на значок удаления cross-black .

Вкладка Корреляторы

Эта вкладка отображается только при изменении параметров созданного правила корреляции и используется для привязки корреляторов к правилу корреляции.

Для добавления корреляторов нажмите на кнопку + Добавить, в открывшемся окне укажите один или несколько корреляторов и нажмите на кнопку ОК. Правило корреляции будет привязано к указанным корреляторам и добавлено последним в очередь для выполнения в параметрах корреляторов. Если вы хотите изменить позицию правила корреляции в очереди для выполнения, перейдите в раздел Ресурсы → Коррелятор, нажмите на коррелятор, в открывшемся окне перейдите в раздел Корреляция, установите флажок рядом с правилом корреляции и измените позицию правила корреляции, нажимая на кнопки Поднять и Опустить.

Вы можете добавить несколько корреляторов и удалить корреляторы. Для удаления коррелятора установите рядом с ним флажок и нажмите на кнопку Удалить.

Правило корреляции, тип simple

Фильтрация по данным из поля события Extra

Правила корреляции с типом simple используются для определения простых последовательностей событий. Доступные параметры правила корреляции с типом simple описаны в таблицах ниже.

По сравнению с моделью данных нормализованного события некоторые поля корреляционного события, образованного по правилу корреляции simple, могут отличаться (см. таблицу ниже).

Название поля корреляционного события	Описание
StartTime	Дата и время создания базового события (timestamp), от которого было образовано корреляционное событие.
EndTime	Дата и время создания базового события (timestamp), от которого было образовано корреляционное событие.

Вкладка Общие

Эта вкладка используется для указания основных параметров правила корреляции.

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип правила корреляции – simple. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Наследуемые поля	Поля событий, по которым отбираются события. Если срабатывает селектор, указанный на вкладке Селекторы, отобранные поля событий копируются в корреляционное событие.
Частота срабатываний	Максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: `0`. Если не срабатывают правила корреляции, в которых реализована сложная логика обнаружения закономерностей, причиной могут быть особенности подсчета срабатываний правила в KUMA. В этом случае мы рекомендуем увеличить значение в поле Частота срабатываний, например до `1000000`.
Уровень важности	Базовый коэффициент, используемый для определения уровня важности правила корреляции: Критический. Высокий. Средний. Низкий – это значение выбрано по умолчанию.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
Техники MITRE	Загруженные техники MITRE ATT&CK для анализа состояния покрытия безопасности с помощью матрицы MITRE ATT&CK.

Вкладка Селекторы

Эта вкладка используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Для селектора доступны вкладки Параметры и Локальные переменные.

Параметры, доступные на вкладке Параметры, описаны в таблице ниже.

Параметр

Описание

Фильтр

Фильтр, указывающий критерии определения событий, при получении которых будет срабатывать селектор. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать.

Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша edit-pencil .

Как создать фильтр?

Чтобы создать фильтр:

В раскрывающемся списке Фильтр выберите Создать.
Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
В блоке параметров Условия укажите условия, которым должны соответствовать события:
1. Нажмите на кнопку Добавить условие.
2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
3. В раскрывающемся списке Оператор выберите оператор.
  Операторы фильтров
  - = – левый операнд равен правому операнду.
  - < – левый операнд меньше правого операнда.
  - <= – левый операнд меньше или равен правому операнду.
  - > – левый операнд больше правого операнда.
  - >= – левый операнд больше или равен правому операнду.
  - inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
  - contains – левый операнд содержит значения правого операнда.
  - startsWith – левый операнд начинается с одного из значений правого операнда.
  - endsWith – левый операнд заканчивается одним из значений правого операнда.
  - match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
  - hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
    Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
    
    Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
  - hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
    Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
  - inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
  - inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
  - inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
  - inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
  - TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
  - inContextTable – присутствует ли в указанной контекстной таблице запись.
  - intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Условия для фильтров по данным из поля события Extra:

Условие – Если.
Левый операнд – поле события.
В поле события вы можете указать одно из следующих значений:
- Поле Extra.
- Значение из поля Extra в следующем формате:
  Extra.<название поля>
  
  Например, Extra.app.
  
  Вам нужно указать значение вручную.
- Значение из массива, записанного в поле Extra, в следующем формате:
  Extra.<название поля>.<элемент массива>
  
  Например, Extra.array.0.
  
  Нумерация значений в массиве начинается с 0. Вам нужно указать значение вручную. Для работы со значением из поля Extra на глубине 3 и ниже требуется использовать кавычки ``, например `Extra.lev1.lev2.lev3`.
Оператор – =.
Правый операнд – константа.
Значение – значение, по которому требуется фильтровать события.

Последовательность условий, указанных в фильтре селектора корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в фильтре селектора ставить наиболее уникальный критерий отбора.

Рассмотрим два примера фильтров селектора, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.

Фильтр селектора 1:

Условие 1 – DeviceProduct = Microsoft Windows.

Условие 2 – DeviceEventClassID = 4624.

Фильтр селектора 2:

Условие 1 – DeviceEventClassID = 4624.

Условие 2 – DeviceProduct = Microsoft Windows.

Последовательность условий, указанная в фильтре селектора 2, является более предпочтительной, так как показывает меньшую нагрузку на систему.

Вкладка Действия

Эта вкладка используется для настройки триггера правила корреляции. В правиле корреляции с типом simple может быть только один триггер, который срабатывает каждый раз, когда контейнер регистрирует срабатывание селектора. Доступные параметры триггера описаны в таблице ниже.

Параметр

Описание

В дальнейшую обработку

В коррелятор

Не создавать алерт

Флажок, выключающий создание алертов при срабатывании правила корреляции. По умолчанию этот флажок снят.

Обогащение

Доступные параметры правила обогащения:

Доступные типы обогащения:

Доступные параметры типа обогащения

Параметр	Описание
Константа	Значение, которое требуется добавить в поле события. Максимальная длина значения: до 255 символов в кодировке Unicode. Если оставить поле пустым, существующее значение поля события будет удалено.
Целевое поле	Поле события KUMA, в которое требуется поместить данные.

Доступные параметры типа обогащения

Параметр	Описание
Название словаря	Словарь, из которого будут браться значения.
Ключевые поля	Поля событий, значения которых будут использоваться для выбора записи словаря. Для добавления поля события нажмите на кнопку Добавить поле. Вы можете добавить несколько полей событий.

Доступные параметры типа обогащения

Параметр

Описание

Название словаря

Словарь, из которого будут браться значения.

Ключевые поля

Сопоставление

Поля событий для передачи данных:

Поле словаря – поля словаря, из которых будут передаваться данные. Доступные поля зависят от выбранного ресурса словаря.
Поле KUMA – поля событий, в которые будут передаваться данные. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись вы можете задать название для помещаемых данных.

событие

Доступные параметры типа обогащения

Параметр	Описание
Целевое поле	Поле события KUMA, в которое требуется поместить данные.
Исходное поле	Поле события, значение которого будет записано в целевое поле.

entropy – используется для преобразования значения исходного поля с помощью функции вычисления информационной энтропии и помещения результата преобразования в целевое поле типа float. Результатом преобразования будет число. Показатель вычисления информационной энтропии позволяет выявлять DNS-туннели и компрометацию паролей, например когда пользователь ввел пароль вместо логина и пароль записывается в журнал в открытом виде.
lower – используется для перевода всех символов значения в нижний регистр.
upper – используется для перевода всех символов значения в верхний регистр.
regexp – используется для преобразования значения с помощью указанного регулярного выражения RE2. При выборе этого типа преобразования отображается поле, в котором вам нужно указать регулярное выражение RE2.
substring – используется для извлечения символов в указанном диапазоне позиций. При выборе этого типа преобразования отображаются поля Начало и Конец, в которых вам нужно указать диапазон позиций.
replace – используется для замены указанной последовательности символов на другую последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
- Символы на замену – последовательность символов, которую требуется заменить.
- Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
trim – используется для удаления указанных символов одновременно с начала и с конца значения поля события. При выборе этого типа преобразования отображается поле Символы, в котором вам нужно указать символы. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, новым значением будет soft-Windows-Sys.
append – используется для добавления указанных символов в конец значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
prepend – используется для добавления указанных символов к началу значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
replace with regexp – используется для замены результатов регулярного выражения RE2 на указанную последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
- Выражение – регулярное выражение RE2, результаты которого требуется заменить.
- Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
Конвертация закодированных строк в текст:
- decodeHexString – используется для конвертации HEX-строки в текст.
- decodeBase64String – используется для конвертации Base64-строки в текст.
- decodeBase64URLString – используется для конвертации Base64url-строки в текст.
При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, строка будет обрезана и не будет раскодирована.

Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, строка будет обрезана до размера этого поля события.

Преобразования при использовании расширенной схемы событий

Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:

для дополнительного поля с типом Строка доступны все типы преобразования.
для полей с типами Число и Число с плавающей точкой доступны следующие типы преобразования: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String и decodeBase64URLString.
для полей с типами Массив строк, Массив чисел и Массив чисел с плавающей точкой доступны следующие типы преобразования: append и prepend.

Если исходное поле расширенной схемы событий имеет тип Массив строк, а целевое поле расширенной схемы событий имеет тип Строка, значения будут размещены в целевом поле расширенной схемы событий в формате TSV.
Пример: в поле расширенной схемы событий SA.StringArray, находятся значения «string1», «string2», «string3». Выполняется операция обогащения событий. Результат выполнения операции обогащения событий заносится в поле расширенной схемы событий DeviceCustomString1. В поле расширенной схемы событий DeviceCustomString1 будут находиться значения [«string1», «string2», «string3»].
Если исходное и целевое поля расширенной схемы событий имеют тип Массив строк, значения целевого поля расширенной схемы событий будут дополнены значениями исходного поля расширенной схемы событий, а качестве символа-разделителя будет использован символ «,».
Пример: в поле расширенной схемы событий SA.StringArrayOne, находятся значения [«string1», «string2», «string3»], а в поле расширенной схемы событий SA.StringArrayTwo находятся значения [«string4», «string5», «string6»]. Выполняется операция обогащения событий. Результат выполнения операции обогащения событий заносится в поле расширенной схемы событий SA.StringArrayTwo. В поле расширенной схемы событий SA.StringArrayTwo будут находиться значения [«string4», «string5», «string6», «string1», «string2», «string3»].

Доступные параметры типа обогащения

Параметр	Описание
Шаблон	Шаблон Go. Имена полей событий передаются в формате `{{.EventField}}`, где `EventField` – это название поля события, значение которого должно быть передано в скрипт, например `Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}`.
Целевое поле	Поле события KUMA, в которое требуется поместить данные.

{{.SA.StringArrayOne}}
{{- range $index, $element := . SA.StringArrayOne -}}
{{- if $index}}, {{end}}"{{$element}}"{{- end -}}

template {{toString .SA.StringArray}}

Обязательный параметр.

Отладка – переключатель, включающий логирование ресурса. По умолчанию этот переключатель выключен.
Теги

Изменение категорий

Доступные параметры правила категоризации:

Действие – операция, выполняемая над категорией:
- Добавить – привязать категорию к активу.
- Удалить – отвязать категорию от актива.
Обязательный параметр.
Поле события – поле события, содержащее актив, над которым будет выполнена операция.
Обязательный параметр.
Идентификатор категории – категория, над которой будет совершена операция.
Обязательный параметр.

Обновление активных листов

Доступные параметры операции с активным листом:

Название – активный лист, с которым выполняется операция. Если вы хотите изменить параметры активного листа, нажмите рядом с ним на значок карандаша .
Обязательный параметр.
Операция – операция, которая выполняется с активным листом:
- Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению активного листа.
- Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
- Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
- Удалить – удалить запись из активного листа.
Обязательный параметр.
Ключевые поля – поля события, которые используются для создания записи активного листа. Указанные поля событий также используются в качестве ключа записи активного листа.
Ключ записи активного листа зависит только от состава полей событий и не зависит от порядка их отображения в веб-интерфейсе KUMA.

Обязательный параметр.
Сопоставление – правила сопоставления полей активного листа с полями событий. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы выбрали значение Получить или Установить. Для создания правила сопоставления нажмите на кнопку + Добавить.
Доступные параметры правила сопоставления:
- Поле активного листа – поле активного листа, которое сопоставляется с полем события. Поле не должно содержать специальные символы или только цифры.
- Поле KUMA – поле события, с которым сопоставляется поле активного листа.
- Константа – константа, которая назначается полю активного листа. Вам нужно указать константу, если в раскрывающемся списке Операция вы выбрали значение Установить.
Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Обновление контекстных таблиц

Доступные параметры операции с контекстной таблицей:

Название – контекстная таблица, с которой выполняется операция. Если вы хотите изменить параметры контекстной таблицы, нажмите рядом с ней на значок карандаша .
Обязательный параметр.
Операция – операция, которая выполняется с контекстной таблицей:
- Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению указанного поля контекстной таблицы. Операция используется только для полей с типом Число и Число с плавающей точкой.
- Установить – записать значения указанных полей корреляционного события в контекстную таблицу, создав новую или обновив существующую запись контекстной таблицы. При обновлении записи контекстной таблицы данные объединяются, и только указанные поля перезаписываются.
- Объединить – дописать значение поля корреляционного события, локальной переменной или константы к существующему значению поля контекстной таблицы.
- Получить – получить поля контекстной таблицы и записать значения указанных полей в корреляционное событие. Поля таблицы типа булево значение и список булевых значений исключаются из сопоставления, потому что в событии нет полей булева типа.
- Удалить – удалить запись из контекстной таблицы.
Обязательный параметр.
Сопоставление – правила сопоставления полей контекстной таблицы с полями событий или переменными. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы не выбрали значение Удалить. Для создания правила сопоставления нажмите на кнопку + Добавить.
Доступные параметры правила сопоставления:
- Поле контекстной таблицы – поле контекстной таблицы, которое сопоставляется с полем события. Вы не можете указать поле контекстной таблицы, которое уже используется в сопоставлении. Вы можете указать табуляцию, специальные символы или только цифры. Максимальное длина названия поля контекстной таблицы составляет 128 символов. Название поля контекстной таблицы не может начинаться с нижнего подчеркивания.
- Поле KUMA – поле события или локальная переменная, с которой сопоставляется поле контекстной таблицы.
- Константа – константа, которая назначается полю контекстной таблицы. Вам нужно указать константу, если в раскрывающемся списке Операция вы выбрали значение Установить, Объединить или Сложить. Максимальное длина константы составляет 1024 символа.
Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Вкладка Корреляторы

Правило корреляции, тип operational

Фильтрация по данным из поля события Extra

Правила корреляции с типом operational используются для работы с активными листами. Доступные параметры правила корреляции с типом operational описаны в таблицах ниже.

Вкладка Общие

Эта вкладка используется для указания основных параметров правила корреляции.

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип правила корреляции – operational. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Частота срабатываний	Максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: `0`. Если не срабатывают правила корреляции, в которых реализована сложная логика обнаружения закономерностей, причиной могут быть особенности подсчета срабатываний правила в KUMA. В этом случае мы рекомендуем увеличить значение в поле Частота срабатываний, например до `1000000`.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
Техники MITRE	Загруженные техники MITRE ATT&CK для анализа состояния покрытия безопасности с помощью матрицы MITRE ATT&CK.

Вкладка Селекторы

Параметры, доступные на вкладке Параметры, описаны в таблице ниже.

Параметр

Описание

Фильтр

Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша edit-pencil .

Как создать фильтр?

Чтобы создать фильтр:

В раскрывающемся списке Фильтр выберите Создать.
Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
В блоке параметров Условия укажите условия, которым должны соответствовать события:
1. Нажмите на кнопку Добавить условие.
2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
3. В раскрывающемся списке Оператор выберите оператор.
  Операторы фильтров
  - = – левый операнд равен правому операнду.
  - < – левый операнд меньше правого операнда.
  - <= – левый операнд меньше или равен правому операнду.
  - > – левый операнд больше правого операнда.
  - >= – левый операнд больше или равен правому операнду.
  - inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
  - contains – левый операнд содержит значения правого операнда.
  - startsWith – левый операнд начинается с одного из значений правого операнда.
  - endsWith – левый операнд заканчивается одним из значений правого операнда.
  - match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
  - hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
    Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
    
    Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
  - hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
    Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
  - inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
  - inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
  - inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
  - inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
  - TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
  - inContextTable – присутствует ли в указанной контекстной таблице запись.
  - intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Условия для фильтров по данным из поля события Extra:

Условие – Если.
Левый операнд – поле события.
В поле события вы можете указать одно из следующих значений:
- Поле Extra.
- Значение из поля Extra в следующем формате:
  Extra.<название поля>
  
  Например, Extra.app.
  
  Вам нужно указать значение вручную.
- Значение из массива, записанного в поле Extra, в следующем формате:
  Extra.<название поля>.<элемент массива>
  
  Например, Extra.array.0.
  
  Нумерация значений в массиве начинается с 0. Вам нужно указать значение вручную. Для работы со значением из поля Extra на глубине 3 и ниже требуется использовать кавычки ``, например `Extra.lev1.lev2.lev3`.
Оператор – =.
Правый операнд – константа.
Значение – значение, по которому требуется фильтровать события.

Фильтр селектора 1:

Условие 1 – DeviceProduct = Microsoft Windows.

Условие 2 – DeviceEventClassID = 4624.

Фильтр селектора 2:

Условие 1 – DeviceEventClassID = 4624.

Условие 2 – DeviceProduct = Microsoft Windows.

Вкладка Действия

Эта вкладка используется для настройки триггера правила корреляции. В правиле корреляции с типом operational может быть только один триггер, который срабатывает каждый раз, когда контейнер регистрирует срабатывание селектора. Доступные параметры триггера описаны в таблице ниже.

Параметр

Описание

Обновление активных листов

Доступные параметры операции с активным листом:

Название – активный лист, с которым выполняется операция. Если вы хотите изменить параметры активного листа, нажмите рядом с ним на значок карандаша .
Обязательный параметр.
Операция – операция, которая выполняется с активным листом:
- Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению активного листа.
- Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
- Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
- Удалить – удалить запись из активного листа.
Обязательный параметр.
Ключевые поля – поля события, которые используются для создания записи активного листа. Указанные поля событий также используются в качестве ключа записи активного листа.
Ключ записи активного листа зависит только от состава полей событий и не зависит от порядка их отображения в веб-интерфейсе KUMA.

Обязательный параметр.
Сопоставление – правила сопоставления полей активного листа с полями событий. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы выбрали значение Получить или Установить. Для создания правила сопоставления нажмите на кнопку + Добавить.
Доступные параметры правила сопоставления:
- Поле активного листа – поле активного листа, которое сопоставляется с полем события. Поле не должно содержать специальные символы или только цифры.
- Поле KUMA – поле события, с которым сопоставляется поле активного листа.
- Константа – константа, которая назначается полю активного листа. Вам нужно указать константу, если в раскрывающемся списке Операция вы выбрали значение Установить.
Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Обновление контекстных таблиц

Доступные параметры операции с контекстной таблицей:

Название – контекстная таблица, с которой выполняется операция. Если вы хотите изменить параметры контекстной таблицы, нажмите рядом с ней на значок карандаша .
Обязательный параметр.
Операция – операция, которая выполняется с контекстной таблицей:
- Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению указанного поля контекстной таблицы. Операция используется только для полей с типом Число и Число с плавающей точкой.
- Установить – записать значения указанных полей корреляционного события в контекстную таблицу, создав новую или обновив существующую запись контекстной таблицы. При обновлении записи контекстной таблицы данные объединяются, и только указанные поля перезаписываются.
- Объединить – дописать значение поля корреляционного события, локальной переменной или константы к существующему значению поля контекстной таблицы.
- Получить – получить поля контекстной таблицы и записать значения указанных полей в корреляционное событие. Поля таблицы типа булево значение и список булевых значений исключаются из сопоставления, потому что в событии нет полей булева типа.
- Удалить – удалить запись из контекстной таблицы.
Обязательный параметр.
Сопоставление – правила сопоставления полей контекстной таблицы с полями событий или переменными. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы не выбрали значение Удалить. Для создания правила сопоставления нажмите на кнопку + Добавить.
Доступные параметры правила сопоставления:
- Поле контекстной таблицы – поле контекстной таблицы, которое сопоставляется с полем события. Вы не можете указать поле контекстной таблицы, которое уже используется в сопоставлении. Вы можете указать табуляцию, специальные символы или только цифры. Максимальное длина названия поля контекстной таблицы составляет 128 символов. Название поля контекстной таблицы не может начинаться с нижнего подчеркивания.
- Поле KUMA – поле события или локальная переменная, с которой сопоставляется поле контекстной таблицы.
- Константа – константа, которая назначается полю контекстной таблицы. Вам нужно указать константу, если в раскрывающемся списке Операция вы выбрали значение Установить, Объединить или Сложить. Максимальное длина константы составляет 1024 символа.
Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Вкладка Корреляторы

Локальные переменные в группирующих и уникальных полях

Переменные в корреляторах

Если для покрытия каких-то сценариев обеспечения безопасности недостаточно отслеживания значений в полях событий, активных листах или словарях, вы можете воспользоваться глобальными и локальными переменными. С их помощью можно выполнять различные действия над поступающими в корреляторы значениями, реализуя сложную логику выявления угроз. Переменные можно объявить в корреляторе (глобальные переменные) или в правиле корреляции (локальные переменные), присвоив им какую-либо функцию, а затем обращаться к ним из правил корреляции, как к обычным полям событий, получая в ответ результат срабатывания функции.

Область применения переменных:

При поиске группирующих или уникальных значений полей в правилах корреляции.
В селекторах правил корреляции в фильтрах условий, при которых должно срабатывать правило корреляции.
При обогащении корреляционных событий. В качестве типа источника следует выбирать Событие.
При наполнении активных листов значениями.

К переменным можно обращаться так же, как к полям события, предваряя их название символом $.

Поля расширенной схемы событий могут использоваться в корреляционных правилах, локальных и глобальных переменных.

В этом разделе

Локальные переменные в селекторе

Локальные переменные в обогащении событий

Локальные переменные в обогащении активных листов

Свойства переменных

Требования к переменным

Функции переменных

Объявление переменных

Локальные переменные в группирующих и уникальных полях

Вы можете использовать локальные переменных в разделах Группирующие поля и Уникальные поля правил корреляции типа standard. Для использования локальной переменной необходимо перед ее именем указывать символ "$".

Вы можете ознакомиться с примером использования локальных переменных в разделах Группирующие поля и Уникальные поля в правиле, поставляемом в KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой.

Локальные переменные в селекторе

Чтобы использовать локальную переменную в селекторе:

Добавьте локальную переменную в правило.
В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
В окне Правила корреляции перейдите на вкладку Селекторы, выберите существующий фильтр или создайте новый и нажмите на кнопку Добавить условие.
В качестве операнда выберите поле события.
В качестве значения поля события укажите локальную переменную и укажите символ "$" перед именем переменной.
Укажите остальные параметры фильтра.
Нажмите Сохранить.

Вы можете ознакомиться с примером использования локальных переменных в правиле, поставляемом с KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой.

Локальные переменные в обогащении событий

Вы можете использовать правила корреляции типа standard и simple для обогащения событий с помощью локальных переменных.

Обогащение текстом и числами

Обогащение событий можно выполнять с помощью текста (строк). Для этого могут быть использованы функции, позволяющие модифицировать строки: to_lower, to_upper, str_join, append, prepend, substring, tr, replace, str_join.

Обогащение событий можно выполнять с помощью чисел. Для этого могут быть использованы функции: сложение (оператор "+"), вычитание (оператор "-"), умножение (оператор "*"), деление (оператор "/"), round, ceil, floor, abs, pow.

Также для работы с данными в локальных переменных могут быть использованы регулярные выражения.

Применение регулярных выражений в правилах корреляции создаёт большую нагрузку в сравнении с другими операциями. Поэтому при разработке правил корреляции мы рекомендуем ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.

Обогащение временных отметок

Обогащение событий можно выполнять с помощью временных отметок (даты и времени). Для этого могут быть использованы функции, позволяющие получать или модифицировать временные метки: now, extract_from_timestamp, parse_timestamp, format_timestamp, truncate_timestamp, time_diff.

Операции с активными списками и таблицами

Вы можете выполнять обогащение событий с помощью локальных переменных и данных, находящихся в активных списках и таблицах.

Для обогащения событий данными из активного списка необходимо воспользоваться функциями active_list, active_list_dyn.

Для обогащения событий данными из таблицы необходимо воспользоваться функциями table_dict, dict.

Вы можете создавать условные операторы при помощи функции conditional в локальных переменных. Таким образом переменная может вернуть одно из значений в зависимости от того, какие данные поступили для обработки.

Использование локальной переменной для обогащения событий

Чтобы использовать локальную переменную для обогащения событий:

Добавьте локальную переменную в правило.
В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
В окне Правила корреляции перейдите на вкладку Действия и в группе параметров Обогащение в раскрывающемся списке Тип источника данных выберите событие.
В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое необходимо передать значение локальной переменной.
В раскрывающемся списке Исходное поле выберите локальную переменную. Перед именем локальной переменной укажите символ "$".
Укажите остальные параметры правила.
Нажмите Сохранить.

Локальные переменные в обогащении активных листов

Вы можете использовать локальные переменные для обогащения активных листов.

Чтобы выполнить обогащение активного списка при помощи локальной переменной:

Добавьте локальную переменную в правило.
В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
В окне Правила корреляции перейдите на вкладку Действия и в группе параметров Обновление активных листов добавьте локальную переменную в поле Ключевые поля. Перед именем локальной переменной укажите символ "$".
В группе параметров Сопоставление укажите соответствие между полями события и полями активного списка.
Нажмите на кнопку Сохранить.

Свойства переменных

Локальные и глобальные переменные

Свойства глобальных и локальных переменных различаются.

Глобальные переменные:

Глобальные переменные объявляются на уровне коррелятора и действуют только в пределах этого коррелятора.
К глобальным переменным коррелятора можно обращаться из всех правил корреляции, которые в нем указаны.
В правилах корреляции типа standard одна и та же глобальная переменная в каждом селекторе может принимать разные значения.
Невозможно переносить глобальные переменные между разными корреляторами.

Локальные переменные:

Локальные переменные объявляются на уровне правила корреляции и действуют только в пределах этого правила.
В правилах корреляции типа standard областью действия локальной переменной является только тот селектор, в котором переменная была объявлена.
Локальные переменные можно объявлять в любых типах правил корреляции.
Невозможно переносить локальные переменные между правилами или селекторами.
Локальная переменная не может быть использована в качестве глобальной переменной.

Переменные в разных типах правил корреляции

В правилах корреляции типа operational на вкладке Действия можно указывать все доступные или объявленные в этом правиле переменные.
В правилах корреляции типа standard на вкладке Действия можно указывать только переменные, указанные в этих правилах на вкладке Общие в поле Группирующие поля.
В правилах корреляции типа simple на вкладке Действия можно указывать только переменные, указанные в этих правилах на вкладке Общие в поле Наследуемые поля.

Требования к переменным

Добавляя функцию переменной необходимо сначала указать название функции, а затем в круглых скобках перечислить ее параметры. Исключением являются простейшие математические операции (сложение, вычитание, умножение, деление), при их использовании скобками обозначается приоритет выполнения операций.

Требования к названиям функций:

Должно быть уникально в рамках коррелятора.
Должно содержать от 1 до 128 символов в кодировке Unicode.
Не может начинаться с символа $.
Должно быть написано в camelCase или CamelCase.

Особенности указания функций переменных:

Последовательность указания параметров имеет значение.
Параметры передаются через запятую: ,.
Строковые параметры передаются в одинарных кавычках: '.
Наименования полей событий и переменные указываются без кавычек.
При обращении к переменной как параметру перед ее названием необходимо добавлять символ $.
Ставить пробел между параметрами необязательно.
Во всех функциях, где в качестве параметров допускается использование переменной, допускается создавать вложенные функции.

Функции переменных

Операции с активными листами и словарями

Функции active_list и active_list_dyn

Функции позволяют получать информацию из активного листа и динамически формировать имя поля активного листа и ключа.

Необходимо указать параметры в следующей последовательности:

название активного листа;
выражение, возвращающее название поля активного листа;

одно или несколько выражений, из результатов которых будет составлен ключ.

Пример использования	Результат выполнения
`active_list('Test', to_lower('DeviceHostName'), to_lower(DeviceCustomString2), to_lower(DeviceCustomString1))`	Получение значения поля активного листа.

С помощью этих функций из переменной можно обратиться к активному листу Общего тенанта. Для этого после названия активного листа необходимо добавить суффикс @Shared (регистр имеет значение). Например, active_list('exampleActiveList@Shared', 'score', SourceAddress,SourceUserName).

Функция table_dict

Получение информации о значении в указанном столбце словаря типа таблица.

Необходимо указать параметры в следующей последовательности:

название словаря;
название столбца словаря;

одно или несколько выражений, из результатов которых будет составлен ключ строки словаря.

Пример использования	Результат выполнения
`table_dict('exampleTableDict', 'office', SourceUserName)`	Получение данных из словаря `exampleTableDict` из строки с ключом `SourceUserName` из столбца `office`.
`table_dict('exampleTableDict', 'office', SourceAddress, to_lower(SourceUserName))`	Получение данных из словаря `exampleTableDict` из строки с составным ключом из значения поля `SourceAddress` и значения поля `SourceUserName` в нижнем регистре из столбца `office`.

С помощью этой функции из переменной можно обратиться к словарю Общего тенанта. Для этого после названия активного листа необходимо добавить суффикс @Shared (регистр имеет значение). Например, table_dict('exampleTableDict@Shared', 'office', SourceUserName).

Функция dict

Получение информации о значении в указанном столбце словаря типа словарь.

Необходимо указать параметры в следующей последовательности:

название словаря;

одно или несколько выражений, из результатов которых будет составлен ключ строки словаря.

Пример использования	Результат выполнения
`dict('exampleDictionary', SourceAddress)`	Получение данных из словаря `exampleDictionary` из строки с ключом `SourceAddress`.
`dict('exampleDictionary', SourceAddress, to_lower(SourceUserName))`	Получение данных из словаря `exampleDictionary` из строки с составным ключом из значения поля `SourceAddress` и значения поля `SourceUserName` в нижнем регистре.

Операции с контекстными таблицами

Функция context_table

Возвращает значение указанного поля в базовом типе (например, целое число,массив целых чисел).

Необходимо указать параметры в следующей последовательности:

Название контекстной таблицы. Название не должно быть пустым.
Выражение, возвращающее название поля контекстной таблицы.
Выражение, возвращающее название ключевого поля 1 контекстной таблицы.
Выражение, возвращающее значение ключевого поля 1 контекстной таблицы.

Функция должна содержать минимум 4 параметра.

Пример использования	Результат выполнения
`context_table('tbl1', 'list_field1', 'key1', 'key1_val')`	`Получение значения указанного поля. В случае отсутствия контекстной таблицы или поля контекстной таблицы будет получена пустая строка.`

Функция len

Возвращает длину строки и массива.

Функция возвращает длину массива, если переданный массив соответствует следующему типу:

массив целых чисел;
массив чисел с плавающей точкой;
массив строк;
массив логических типов.

Если передан массив другого типа, данные массива приводятся к строковому типу, и функция возвращает длину полученной строки.

Примеры использования

len(context_table('tbl1', 'list_field1', 'key1', 'key1_val'))

len(DeviceCustomString1)

Функция distinct_items

Возвращает список уникальных элементов массива.

Функция возвращает список уникальных элементов массива, если переданный массив соответствует следующему типу:

массив целых чисел;
массив чисел с плавающей точкой;
массив строк;
массив логических типов.

Если передан массив другого типа, данные массива приводятся к строковому типу, и функция возвращает строку, состоящую из уникальных символов исходной строки.

Примеры использования

distinct_items(context_table('tbl1', 'list_field1', 'key1', 'key1_val'))

distinct_items(DeviceCustomString1)

Функция sort_items

Возвращает отсортированный список элементов массива.

Необходимо указать параметры в следующей последовательности:

выражение, возвращающее объект сортировки;
направление сортировки. Возможные значения: asc, desc. Если параметр не указан, значение по умолчанию – asc.

Функция возвращает отсортированный список элементов массива, если переданный массив соответствует следующему типу:

массив целых чисел;
массив чисел с плавающей точкой;
массив строк.

Функция возвращает список элементов массива в исходном порядке, если был передан массив логических типов.

Если передан массив другого типа, данные массива приводятся к строковому типу, и функция возвращает строку отсортированных символов.

Примеры использования

sort_items(context_table('tbl1', 'list_field1', 'key1', 'key1_val'), 'asc')

sort_items(DeviceCustomString1)

Функция item

Возвращает элемент массива с указанным индексом или символ строки с указанным индексом, если передан массив целых чисел, чисел с плавающей точкой, строк или булевых значений.

Необходимо указать параметры в следующей последовательности:

выражение, возвращающее объект индексирования;
выражение, возвращающее индекс элемента или символа.

Функция должна содержать минимум 2 параметра.

Функция возвращает элемент массива с указанным индексом или символ строки с указанным индексом,если индекс находится в диапазоне массива и переданный массив соответствует следующему типу:

массив целых чисел;
массив чисел с плавающей точкой;
массив строк;
массив логических типов.

Если передан массив другого типа и индекс находится в диапазоне массива, данные приводятся к строковому типу и функция возвращает символ строки по индексу. Если передан массив другого типа и индекс не находится в диапазоне массива, функция возвращает пустую строку.

Примеры использования

item(context_table('tbl1', 'list_field1', 'key1', 'key1_val'), 1)

item(DeviceCustomString1, 0)

Операции со строками

Функция to_lower

Перевод символов в строке в нижний регистр. Поддерживается для стандартных полей и полей расширенной схемы событий типа строка.

Строку можно передать строкой, названием поля или переменной.

Примеры использования

to_lower(SourceUserName)

to_lower('SomeText')

to_lower($otherVariable)

Функция to_upper

Перевод символов в строке в верхний регистр. Поддерживается для стандартных полей и полей расширенной схемы событий типа строка. Строку можно передать строкой, названием поля или переменной.

Примеры использования

to_upper(SourceUserName)

to_upper('SomeText')

to_upper($otherVariable)

Функция append

Добавление символов в конец строки. Поддерживается для стандартных полей и полей расширенной схемы событий типа строка.

Необходимо указать параметры в следующей последовательности:

исходная строка;
добавляемая строка.

Строки можно передать строкой, названием поля или переменной.

Примеры использования	Результат использования
`append(Message, '123')`	Строка из поля `Message`, в конце которой добавлена строка `123`.
`append($otherVariable, 'text')`	Строка из переменной `otherVariable`, в конце которой добавлена строка `text`.
`append(Message, $otherVariable)`	Строка из поля `Message`, в конце которой добавлена строка из переменной `otherVariable`.

Функция prepend

Добавление символов в начало строки. Поддерживается для стандартных полей и полей расширенной схемы событий типа строка.

Необходимо указать параметры в следующей последовательности:

исходная строка;
добавляемая строка.

Строки можно передать строкой, названием поля или переменной.

Примеры использования	Результат использования
`prepend(Message, '123')`	Строка из поля `Message`, в начало которой добавлена строка `123`.
`prepend($otherVariable, 'text')`	Строка из переменной `otherVariable`, в начало которой добавлена строка `text`.
`prepend(Message, $otherVariable)`	Строка из поля `Message`, в начало которой добавлена строка из переменной `otherVariable`.

Функция substring

Возвращает подстроку из строки. Поддерживается для стандартных полей и полей расширенной схемы событий типа строка.

Необходимо указать параметры в следующей последовательности:

исходная строка;
позиция начала подстроки (натуральное число или 0);
(необязательно) позиция конца подстроки.

Строки можно передать строкой, названием поля или переменной. Если номер позиции больше, чем длина строки исходных данных, возвращается пустая строка.

Примеры использования	Результат использования
`substring(Message, 2)`	Возвращает часть строки из поля `Message`: от 3 символа до конца.
`substring($otherVariable, 2, 5)`	Возвращает часть строки из переменной `otherVariable`: от 3 до 6 символа.
`substring(Message, 0, len(Message) - 1)`	Возвращает всю строку из поля `Message`, кроме последнего символа.

Функция index_of

Функция index_of возвращает байтовое смещение символа или подстроки в строке, расчет индекса начинается с 0. Если в результате работы функции подстрока не была найдена, функция вернет отрицательное значение.

Если в строке есть символы, не входящие в набор ASCII, то возвращаемое байтовое смещение не будет соответствовать количеству букв до искомой подстроки.

Доступны следующие параметры функции:

в качестве исходных данных - поле события, другая переменная, или константа,
любое выражение из тех, что доступны в локальных переменных.

Для использования функции необходимо указать параметры в следующей последовательности:

Символ или подстрока, позиция которой будет найдена.
Строка, по которой будет осуществлен поиск.

Примеры использования

Результат использования

index_of('@', SourceUserName)

Выполняется поиск символа @ в поле SourceUserName. Поле SourceUserName содержит строчку user@example.com.

Результат = 4

Функция возвращает индекс первой позиции искомого символа в строке. Расчет индекса начинается с 0.

index_of('m', SourceUserName)

Выполняется поиск символа m в поле SourceUserName. Поле SourceUserName содержит строчку user@example.com.

Результат = 8

Функция возвращает индекс первой позиции искомого символа в строке. Расчет индекса начинается с 0.

Функция last_index_of

Функция last_index_of возвращает последнюю позицию символа или подстроки в строке, расчет индекса начинается с 0. Если в результате работы функции подстрока не была найдена, функция вернет значение -9223372036854775808.

Доступны следующие параметры функции:

в качестве исходных данных - поле события, другая переменная, или константа,
любое выражение из тех, что доступны в локальных переменных.

Для использования функции необходимо указать параметры в следующей последовательности:

Символ или подстрока, позиция которой будет найдена.
Строка, по которой будет осуществлен поиск.

Примеры использования

Результат использования

last_index_of('m', SourceUserName)

Выполняется поиск символа m в поле SourceUserName. Поле SourceUserName содержит строчку user@example.com.

Результат = 15

Функция возвращает индекс последней позиции искомого символа в строке. Расчет индекса начинается с 0.

Функция tr

Убирает из начала и конца строки указанные символы. Поддерживается для стандартных полей и полей расширенной схемы событий типа строка.

Необходимо указать параметры в следующей последовательности:

исходная строка;
(необязательно) строка, которую следует удалить из начала и конца исходной строки.

Строки можно передать строкой, названием поля или переменной. Если строку на удаление не указать, в начале и в конце исходной строки будут удалены пробелы.

Примеры использования	Результат использования
`tr(Message)`	В начале и в конце строки из поля `Message` удалены пробелы.
`tr($otherVariable, '_')`	Если переменной `otherVariable` соответствует значение `_test_`, будет возвращена строка `test`.
`tr(Message, '@example.com')`	Если в поле события `Message` находится строка `user@example.com`, будет возвращена строка `user`.

Функция replace

Замена в строке всех вхождений последовательности символов А на последовательность символов B. Поддерживается для стандартных полей и полей расширенной схемы событий типа строка.

Необходимо указать параметры в следующей последовательности:

исходная строка;
строка поиска: последовательность символов, подлежащая замене;
строка замены: последовательность символов, на которую необходимо заменить строку поиска.

Строки можно передать выражением.

Примеры использования	Результат использования
`replace(Name, 'UserA', 'UserB')`	Возвращается строка из поля события `Name`, в которой все вхождения `UserA` заменены на `UserB`.
`replace($otherVariable, ' text ', '_text_')`	Возвращается строка из переменной `otherVariable`, в которой все вхождения `' text '` заменены на `'_text_'`.

Функция regexp_replace

Замена в строке последовательности символов, удовлетворяющих регулярному выражению, на последовательность символов и группы захвата регулярного выражения. Поддерживается для стандартных полей и полей расширенной схемы событий типа строка.

Необходимо указать параметры в следующей последовательности:

исходная строка;
строка поиска: регулярное выражение;
строка замены: последовательность символов, на которую необходимо заменить строку поиска, и идентификаторы групп захвата регулярного выражения. Строку можно передать выражением.

Строки можно передать строкой, названием поля или переменной. Допускается использовать неименованные группы захвата.

В регулярных выражениях, используемых в функциях переменных, каждый символ обратной косой черты необходимо дополнительно экранировать. Например, вместо регулярного выражения ^example\\ необходимо указывать выражение ^example\\\\.

Примеры использования	Результат использования
`regexp_replace(SourceAddress, '([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3})', 'newIP: $1.$2.$3.10')`	Возвращается строка из поля события `SourceAddress`, в которой перед IP-адресами вставлен текст `newIP`. Также последние цифры адреса заменены на `10`.

Функция regexp_capture

Получение из исходной строки результата, удовлетворяющего условию регулярного выражения. Поддерживается для стандартных полей и полей расширенной схемы событий типа строка.

Необходимо указать параметры в следующей последовательности:

исходная строка;
строка поиска: регулярное выражение.

Примеры использования

Примеры значений

Результат использования

regexp_capture(Message, '(\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3})')

Message = 'Access from 192.168.1.1 session 1'

Message = 'Access from 45.45.45.45 translated address 192.168.1.1 session 1'

'192.168.1.1'

'45.45.45.45'

Функция template

Возвращает строку, указанную в функции, с заменой переменных на их значения. Функция template может быть использована в одном из двух вариантов:

Когда у функции только один аргумент. В этом случае можно использовать имена полей для подстановки значений в шаблон.

Когда у функции несколько аргументов. В этом случае для подстановки значений используется индекс аргумента, начинающийся с нуля.

Примеры использования

template('Текст сообщения: {{.Message}}')
template('Имя в нижнем регистре: {{index . 0}}. Имя в верхнем регистре: {{index . 1}}', to_lower(Name), to_upper(Name))

Операции с метками времени

Функция now

Получение временной метки в формате epoch. Запускается без аргументов.

Примеры использования

now()

Функция extract_from_timestamp

Получение атомарных представлений времени (в виде год, месяц, день, час, минута, секунда, день недели) из полей и переменных с временем в формате epoch.

Параметры необходимо указать в следующей последовательности:

Поле события, имеющего тип timestamp, или переменная.
Обозначение атомарного представления времени. Параметр регистрозависимый.
Возможные варианты обозначения атомарного времени:
- y – год в виде числа.
- M – месяц, числовое обозначение.
- d – число месяца.
- wd – день недели: Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday.
- h – часы в 24-часовом формате.
- m – минуты.
- s – секунды.

(необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.

Примеры использования

extract_from_timestamp(Timestamp, 'wd')

extract_from_timestamp(Timestamp, 'h')

extract_from_timestamp($otherVariable, 'h')

extract_from_timestamp(Timestamp, 'h', 'Europe/Moscow')

Функция parse_timestamp

Представление времени из формата RFC3339 (например, 2022-05-24 00:00:00, 2022-05-24 00:00:00+0300) в формат epoch.

Примеры использования

parse_timestamp(Message)

parse_timestamp($otherVariable)

Функция format_timestamp

Представление времени из формата epoch в формат RFC3339.

Параметры необходимо указать в следующей последовательности:

Поле события, имеющего тип timestamp, или переменная.
Обозначение формата времени: RFC3339.
(необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.

Примеры использования

format_timestamp(Timestamp, 'RFC3339')

format_timestamp($otherVariable, 'RFC3339')

format_timestamp(Timestamp, 'RFC3339', 'Europe/Moscow')

Функция truncate_timestamp

Округление времени в формате epoch. После округления время возвращается в формате epoch. Время округляется в меньшую сторону.

Параметры необходимо указать в следующей последовательности:

Поле события, имеющего тип timestamp, или переменная.
Параметр округления:
- 1s – округление до секунд;
- 1m – округление до минут;
- 1h – округление до часов;
- 24h – округление до суток.

(необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.

Примеры использования	Примеры округляемых значений	Результат использования
`truncate_timestamp(Timestamp, '1m')`	1654631774175 (7 June 2022 г., 19:56:14.175)	1654631760000 (7 June 2022 г., 19:56:00)
`truncate_timestamp($otherVariable, '1h')`	1654631774175 (7 June 2022 г., 19:56:14.175)	1654628400000 (7 June 2022 г., 19:00:00)
`truncate_timestamp(Timestamp, '24h', 'Europe/Moscow')`	1654631774175 (7 June 2022 г., 19:56:14.175)	1654560000000 (7 June 2022 г., 0:00:00)

Функция time_diff

Получение интервала времени между двумя метками времени в формате epoch.

Параметры необходимо указать в следующей последовательности:

Время конца отрезка. Поле события, имеющего тип timestamp, или переменная.
Время начала отрезка. Поле события, имеющего тип timestamp, или переменная.
Представление временного интервала:
- ms – в миллисекундах;
- s – в секундах;
- m – в минутах;
- h – в часах;
- d – в днях.
Примеры использования

time_diff(EndTime, StartTime, 's')

time_diff($otherVariable, Timestamp, 'h')

time_diff(Timestamp, DeviceReceiptTime, 'd')

Математические операции

Представлены как простейшими математическими операциями, так и функциями.

Простейшие математические операции

Поддерживаются для полей расширенной схемы событий с типом целое число и число с плавающей точкой.

Операции:

сложение;
вычитание;
умножение;
деление;
деление по модулю.

Использование круглых скобок определяет последовательность действий

Доступные аргументы:

числовые поля события;
числовые переменные;
вещественные числа.
При делении по модулю в качестве аргументов можно использовать только натуральные числа.

Ограничения использования:

деление на ноль возвращает ноль;
математические операции между числами и строками возвращают число в неизменном виде. Например, 1 + abc вернет 1;

целые числа, полученные в результате операций, возвращаются без точки.

Примеры использования `(Type=3; otherVariable=2; Message=text)`	Результат использования
`Type + 1`	4
`$otherVariable - Type`	-1
`2 * 2.5`	5
`2 / 0`	0
`Type * Message`	0
`(Type + 2) * 2`	10
`Type % $otherVariable`	1

Функция round

Округление чисел. Поддерживается для полей расширенной схемы событий с типом целое число и число с плавающей точкой.

Доступные аргументы:

числовые поля события;
числовые переменные;

числовые константы.

Примеры использования `(DeviceCustomFloatingPoint1=7.75; DeviceCustomFloatingPoint2=7.5 otherVariable=7.2)`	Результат использования
`round(DeviceCustomFloatingPoint1)`	8
`round(DeviceCustomFloatingPoint2)`	8
`round($otherVariable)`	7

Функция ceil

Округление чисел в большую сторону. Поддерживается для полей расширенной схемы событий с типом целое число и число с плавающей точкой.

Доступные аргументы:

числовые поля события;
числовые переменные;

числовые константы.

Примеры использования

(DeviceCustomFloatingPoint1=7.15; otherVariable=8.2)

Результат использования

ceil(DeviceCustomFloatingPoint1)

ceil($otherVariable)

Функция floor

Округление чисел в меньшую сторону. Поддерживается для полей расширенной схемы событий с типом целое число и число с плавающей точкой.

Доступные аргументы:

числовые поля события;
числовые переменные;

числовые константы.

Примеры использования

(DeviceCustomFloatingPoint1=7.15; otherVariable=8.2)

Результат использования

floor(DeviceCustomFloatingPoint1)

floor($otherVariable)

Функция abs

Получение числа по модулю. Поддерживается для полей расширенной схемы событий с типом целое число и число с плавающей точкой.

Доступные аргументы:

числовые поля события;
числовые переменные;

числовые константы.

Примеры использования

(DeviceCustomNumber1=-7; otherVariable=-2)

Результат использования

abs(DeviceCustomFloatingPoint1)

abs($otherVariable)

Функция pow

Возведение числа в степень. Поддерживается для полей расширенной схемы событий с типом целое число и число с плавающей точкой.

Параметры необходимо указать в следующей последовательности:

База – вещественные числа.
Степень – натуральные числа или вещественные числа.

Доступные аргументы:

числовые поля события;
числовые переменные;
числовые константы.

Примеры использования

pow(DeviceCustomNumber1, DeviceCustomNumber2)

pow($otherVariable, DeviceCustomNumber1)

Функция str_join

Позволяет объединить несколько строк в одну с использованием разделителя. Поддерживается для полей расширенной схемы событий с типом целое число и число с плавающей точкой.

Параметры необходимо указать в следующей последовательности:

Разделитель. Строка.
Строка 1, строка 2, строка N. Минимум 2 выражения.

Примеры использования

Результат использования

str_join('|', to_lower(Name), to_upper(Name), Name)

Строка.

Функция conditional

Позволяет получить одно значения в случае выполнения условия и другое значение, если условие не выполнится. Поддерживается для полей расширенной схемы событий с типом целое число и число с плавающей точкой.

Параметры необходимо указать в следующей последовательности:

Условие. Строка. Синтаксис аналогичен условиям в SQL Where. В условии можно использовать функции переменных KUMA и ссылаться на другие переменные.
Значение при выполнении условия. Выражение.
Значение при невыполнении условия. Выражение.

Поддерживаемые операторы:

AND
OR
NOT
=
!=
<
<=
>
>=
LIKE (передается регулярное выражение RE2, а не SQL-выражение)
ILIKE (передается регулярное выражение RE2, а не SQL-выражение)
BETWEEN
IN

IS NULL (проверка на пустое значение, например 0 или пустую строку)

Примеры использования (значение зависит от аргументов 2 и 3)

conditional('SourceUserName = \\'root\\' AND DestinationUserName = SourceUserName', 'match', 'no match')

conditional(`DestinationUserName ILIKE 'svc_.*'`, 'match', 'no match')

conditional(`DestinationUserName NOT LIKE 'svc_.*'`, 'match', 'no match')

Операции для полей расширенной схемы событий

Для полей расширенной схемы событий типа строка поддерживаются следующие виды операций:

Функция len
Функция to_lower
Функция to_upper
Функция append
Функция prepend
Функция substring
Функция tr
Функция replace
Функция regexp_replace
Функция regexp_capture

Для полей расширенной схемы событий с типом целое число или число с плавающей точкой поддерживаются следующие виды операций:

Простые математические операции:
Функция round
Функция ceil
Функция floor
Функция abs
Функция pow
Функция str_join
Функция conditional

KUMA поддерживает для полей расширенной схемы событий с типом массив целых чисел, массив чисел с плавающей точкой и массив строк следующие виды функций:

получение i-го элемента массива. Пример: item(<type>.someStringArray).
получение массива значений. Пример: <type>.someStringArray. Вернет ["string1", "string2", "string3"].
получение количества элементов в массиве. Пример: len(<type>.someStringArray). Вернет ["string1", "string2"].
получение уникальных записей из массива. Пример: distinct_items(<type>.someStringArray).
формирование строки с элементами массива в формате TSV. Пример: to_string(<type>.someStringArray).
сортировка элементов массива. Пример: sort_items(<type>.someStringArray).
В примерах вместо <type> необходимо указать тип массива: NA для массива целых чисел, FA для массива чисел с плавающей точкой, SA для массива строк.

Для полей с типом массив целых чисел и массив чисел с плавающей точкой поддерживаются следующие функции:

math_min – возвращает минимальный элемент массива. Пример: math_min(NA.NumberArray), math_min(FA.FloatArray).
math_max – возвращает максимальный элемент массива. Пример: math_max(NA.NumberArray), math_max(FA.FloatArray).
math_avg – возвращает среднее значение массива. Пример: math_avg(NA.NumberArray), math_avg(FA.FloatArray).

Объявление переменных

Для объявления переменных их необходимо добавить в коррелятор или правило корреляции.

Чтобы добавить глобальную переменную в существующий коррелятор:

В веб-интерфейсе KUMA в разделе Ресурсы → Корреляторы выберите набор ресурсов нужного коррелятора.
Откроется мастер установки коррелятора.
Выберите шаг мастера установки Глобальные переменные.
Нажмите на кнопку Добавить переменную и укажите следующие параметры:
- В окне Переменная введите название переменной.
  Требования к наименованию переменных
  - Должно быть уникально в рамках коррелятора.
  - Должно содержать от 1 до 128 символов в кодировке Unicode.
  - Не может начинаться с символа $.
  - Должно быть написано в camelCase или CamelCase.
- В окне Значение введите функцию переменной.
  При вводе функций поддерживается автодополнение в виде списка подсказок с возможными вариантами имен функций, их кратким описанием и примерами использования. Вы можете выбрать нужную функцию из списка и вставить ее вместе со списком аргументов в поле ввода.
  
  Для вызова списка всех подсказок в поле ввода используйте комбинацию клавиш Ctrl + Space. Для выбора нужной функции из списка используйте клавишу Enter. Для перехода к следующему аргументу в списке аргументов выбранной функции используйте клавишу Tab.
  
  Описание функций переменных.
Переменных можно добавить несколько. Добавленные переменные можно изменить или удалить с помощью значка .
Выберите шаг мастера установки Проверка параметров и нажмите Сохранить.

Глобальная переменная добавлена в коррелятор. К ней можно обращаться, как к полю события, указывая перед названием переменной символ $. Переменная будет использоваться при корреляции после перезапуска сервиса коррелятора.

Чтобы добавить локальную переменную в существующее правило корреляции:

В веб-интерфейсе KUMA в разделе Ресурсы → Правила корреляции выберите нужное правило корреляции.
Откроется окно параметров правила корреляции. Параметры правила корреляции можно также открыть из коррелятора, в которое оно было добавлено, перейдя на шаг мастера установки Корреляция.
Откройте вкладку Селекторы.
В селекторе откройте вкладку Локальные переменные, нажмите на кнопку Добавить переменную и укажите следующие параметры:
- В окне Переменная введите название переменной.
  Требования к наименованию переменных
  - Должно быть уникально в рамках коррелятора.
  - Должно содержать от 1 до 128 символов в кодировке Unicode.
  - Не может начинаться с символа $.
  - Должно быть написано в camelCase или CamelCase.
- В окне Значение введите функцию переменной.
  При вводе функций поддерживается автодополнение в виде списка подсказок с возможными вариантами имен функций, их кратким описанием и примерами использования. Вы можете выбрать нужную функцию из списка и вставить ее вместе со списком аргументов в поле ввода.
  
  Для вызова списка всех подсказок в поле ввода используйте комбинацию клавиш Ctrl + Space. Для выбора нужной функции из списка используйте клавишу Enter. Для перехода к следующему аргументу в списке аргументов выбранной функции используйте клавишу Tab.
  
  Описание функций переменных.
Переменных можно добавить несколько. Добавленные переменные можно изменить или удалить с помощью значка .

Для правил корреляции типа standard повторите этот шаг для каждого селектора, в которым вы хотите объявить переменные.
Нажмите Сохранить.

Локальная переменная добавлена в правило корреляции. К ней можно обращаться, как к полю события, указывая перед названием переменной символ $. Переменная будет использоваться при корреляции после перезапуска сервиса коррелятора.

Добавленные переменные можно изменить или удалить. Если правило корреляции обращается к необъявленной переменной (например, если ее название было изменено), в качестве результата возвращается пустая строка.

Если вы измените название переменной, вам потребуется вручную изменить название этой переменной во всех правилах корреляции, где вы ее использовали.

Добавление временного списка исключений для корреляционного правила

Для пользователей без прав редактирования корреляционных правил в веб-интерфейсе KUMA имеется возможность создавать временный список исключений (например, создавать исключения для ложноположительных срабатываний при работе с алертами). Пользователь с правами редактирования корреляционных правил может затем по необходимости добавить исключения в правило и удалить их из временного списка.

Чтобы добавить исключения в корреляционное правило при работе с алертами:

Перейдите в раздел Алерты и выберите необходимый алерт.
Нажмите на кнопку Найти в событиях.
Отображаются события алерта на странице событий.
Откройте корреляционное событие.
Откроется карточка события, в которой напротив каждого поля отобразится кнопка (стрелка) для добавления исключения.
Нажмите на кнопку и выберите Добавить в исключение.
Открывается боковая панель с полями: Корреляционное правило, Исключение, Алерт, Комментарий.
Нажать на кнопку Создать.

Правило исключения добавлено.

Исключение добавится во временный список. Этот список будет доступен всем, у кого есть права на чтение корреляционных правил, в разделе Ресурсы → Правила корреляции в панели инструментов списка правил по кнопке Список исключений. Если вы хотите посмотреть исключения конкретного правила, откройте карточку правила и перейдите на вкладку Исключения.

Список исключений содержит записи со следующими параметрами:

Исключение
Условие исключения.
Корреляционное правило
Наименование корреляционного правила.
Алерт
Наименование алерта, из которого было добавлено исключение.
Тенант
Тенант, в рамках которого действует правило и исключение соответственно.
Условие
Формируется автоматически на основании выбранного поля корреляционного события.
Дата создания
Дата и время добавления исключения.
Истекает

Дата и время, когда исключение будет автоматически удалено из списка.

Создано
Имя пользователя, который добавил исключение.
Комментарий

После добавления исключения, корреляционное правило будет работать с учетом исключения в течение 7 дней по умолчанию. В разделе Параметры → Общие вы можете настроить время действия исключений, изменив параметр corr_rule_exclusion_ttl_hours в разделе Свойства ядра. Вы можете настроить длительность хранения исключений в часах и днях. Минимальное значение 1 час, максимальное – 365 дней. Эта настройка доступна только для пользователя с ролью Главный администратор.

Чтобы поля из базовых событий переходили в корреляционные события, эти поля необходимо указать в карточке корреляционного правила на вкладке Общие в поле Наследуемые поля. Если поля базовых событий не будут отображены в корреляционном событии, поля нельзя будет добавить в исключения.

Чтобы удалить исключения из корреляционного правила:

Перейдите в раздел Ресурсы → Правила корреляции.
В панели инструментов списка правил нажмите на кнопку Список исключений.
Откроется окно со списком исключений.
Выбрать нужные исключения и нажать на кнопку Удалить.

Исключения будут удалены из корреляционного правила.

KUMA генерирует аудит события по факту создания или удаления исключений. Вы можете посмотреть изменения параметров события в окне Информация о событии.

Предустановленные правила корреляции

В поставку KUMA включены перечисленные в таблице ниже правила корреляции.

Предустановленные правила корреляции

Название правила корреляции	Описание
[OOTB] KATA alert	Используется для обогащения событий KATA.
[OOTB] Successful Bruteforce	Срабатывает после выявления успешной попытки аутентификации после множества неуспешных попыток аутентификации. Правило работает на основе событий демона sshd.
[OOTB][AD] Account created and deleted within a short period of time	Выявляет факты создания и последующего удаления учётных записей на хостах на базе ОС Microsoft Windows.
[OOTB][AD] An account failed to log on from different hosts	Выявляет множественные неуспешные попытки аутентификации на различных хостах.
[OOTB][AD] Membership of sensitive group was modified	Работает на базе событий ОС Microsoft Windows.
[OOTB][AD] Multiple accounts failed to log on from the same host	Срабатывает после выявления множественных неуспешных попыток аутентификации на одном хосте от имени разных учётных записей.
[OOTB][AD] Successful authentication with the same account on multiple hosts	Выявляет подключения на разные хосты под одной учётной записью. Правило работает на основе событий ОС Microsoft Windows.
[OOTB][AD] The account added and deleted from the group in a short period of time	Выявляет добавление и последующее удаление пользователя из группы. Правило работает на основе событий ОС Microsoft Windows.
[OOTB][Net] Possible port scan	Выявляет подозрения на сканирование порта. Правило работает на основе событий Netflow, Ipfix.

Техники и тактики MITRE ATT&CK

В KUMA доступны следующие возможности:

Обогащение корреляционных событий информацией о техниках и тактиках MITRE ATT&CK.
Для этого используются поля модели данных события Tactic и Technique. При генерации корреляционного события можно заполнять эти поля соответствующими данными для последующего использования. Например, при получении нового алерта с разметкой по MITRE ATT&CK, вы можете открыть сайт MITRE ATT&CK и ознакомиться с описанием техник и тактик, когда, каким образом и для чего злоумышленники могут использовать эти техники, как их обнаруживать и митигировать риски - все это поможет разработать план реагирования. Также вы можете строить отчеты и панели мониторинга, исходя из того, какие алерты и техники были замечены в инфраструктуре. Если вы используете правила корреляции из пакета SOC_package и хотите настроить обогащение корреляционных событий информацией о техниках и тактиках MITRE ATT&CK, добавьте в корреляторе правила обогащения MITRE, которые входят в поставку SOC_package.
Оценка покрытия матрицы MITRE ATT&CK вашими корреляционными правилами.
В этом случае используются общие настройки корреляционного правила, где есть возможность привязать к каждому правилу соответствующие техники MITRE. Этот параметр используется для описания самого правила и эти данные никак не передаются в корреляционное правило или алерт. Привязка техник и тактик к правилам корреляции позволяет проанализировать покрытие матрицы MITRE ATT&CK, фокусируясь на техниках, наиболее релевантных для конкретной инфраструктуры.

Если вы хотите оценить покрытие матрицы MITRE ATT&CK вашими корреляционными правилами, выполните следующие шаги:

В результате вы сможете визуально оценить покрытие матрицы MITRE ATT&CK.

Добавление в корреляторе правил обогащения MITRE

Чтобы добавить правила обогащения MITRE из пакета SOC_package:

В разделе KUMA Ресурсы и сервисы → Корреляторы нажмите Добавить, чтобы создать коррелятор, или выберите действующий коррелятор в списке, чтобы перейти в режим редактирования параметров.
В мастере установки коррелятора на шаге Обогащение нажмите Добавить обогащение.
В открывшемся окне Обогащение в раскрывающемся списке Правило обогащения выберите правила MITRE Technique и MITRE Tactics.
Правила обогащения MITRE Technique и MITRE Tactics преднастроены, никаких дополнительных параметров указывать не требуется.
Сохраните параметры коррелятора.
Если вы создали коррелятор, необходимо выполнить установку сервиса коррелятора на хосте. Если вы редактировали параметры действующего коррелятора, сервис коррелятора необходимо перезапустить.

Правила обогащения MITRE Technique и MITRE Tactics добавлены.

Импорт списка техник MITRE ATT&CK

Импорт списка техник MITRE ATT&CK доступен только пользователю с ролью Главный администратор.

Чтобы импортировать список техник MITRE ATT&CK:

Скачайте справочник техник MITRE ATT&CK на портале GitHub.
KUMA версии 3.2 поддерживает работу только со справочником техник MITRE ATT&CK версии 14.1.
В веб-интерфейсе KUMA перейдите в раздел Параметры → Общие.
В разделе Настройки списка техник MITRE нажмите на кнопку Импортировать из файла.
Откроется окно выбора файлов.
Выберите скачанный справочник техник MITRE ATT&CK и нажмите на кнопку Открыть.
Окно выбора файлов закроется.

Список техник MITRE ATT&CK будет импортирован в KUMA. Вы можете увидеть список импортированных техник и версию справочника техник MITRE ATT&CK, нажав на кнопку Просмотреть список.

Привязка техник MITRE ATT&CK к правилам корреляции

Чтобы привязать техники MITRE ATT&CK к правилам корреляции:

В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Правила корреляции.
Откройте окно редактирования правила корреляции, нажав на имя правила корреляции.
Откроется окно редактирования правила корреляции.
Во вкладке Общие при нажатии на поле Техники MITRE откроется список доступных техник. Для удобства поиска доступен фильтр: в поле можно ввести название техники, ID техники или тактики. Для привязки к правилу корреляции доступна одна или несколько техник MITRE ATT&CK.
Нажмите на кнопку Сохранить.

Техники MITRE ATT&CK будут привязаны к правилу корреляции. В веб-интерфейсе в разделе Ресурсы → Правила корреляции в столбце Техники MITRE у отредактированного правила отобразится ID выбранной техники, а при наведении курсора на элемент отобразится полное название техники с указанием ID техники и тактики.

Экспорт правил корреляции в MITRE ATT&CK Navigator

Чтобы экспортировать правила корреляции с привязанными техниками в MITRE ATT&CK Navigator:

В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Правила корреляции.
В правом верхнем углу нажмите на кнопку .
В раскрывающемся списке нажмите на кнопку Экспортировать в MITRE ATT&CK Navigator.
В открывшемся окне выберите правила корреляции, которые вы хотите экспортировать.
Нажмите на кнопку OK.
Файл с экспортированными правилами будет загружен на ваш компьютер.
Загрузите файл с вашего компьютера в MITRE ATT&CK Navigator для оценки покрытия матрицы MITRE ATT&CK.

Вы можете произвести проверку покрытия матрицы MITRE ATT&CK.

Фильтры

Фильтры позволяют отбирать события на основании указанных условий. В сервисе коллектора фильтры используются для отображения событий, которые вы хотите передавать в KUMA. События, удовлетворяющие условия фильтра, будут переданы в KUMA для дальнейшей обработки.

Вы можете использовать фильтры в следующих сервисах и функциях KUMA:

Коллектор.
Коррелятор.
Хранилище.
Правила корреляции.
Правила обогащения.
Правила агрегации.
Точки назначения.
Правила реагирования.
Правила сегментации.

Вы можете использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, в котором они были созданы. Для ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов. Доступные параметры фильтра описаны в таблице ниже.

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вы можете создавать условия фильтрации и группы фильтров, а также добавлять в фильтр существующие фильтры.

Для формирования критериев фильтрации вы можете использовать режим конструктора или режим исходного кода. В режиме конструктора вы можете создавать или изменять критерии фильтрации с помощью раскрывающихся списков с вариантами условий фильтра и операторов. В режиме исходного кода вы можете создавать и изменять поисковые запросы с помощью текстовых команд. По умолчанию используется режим конструктора.

Вы можете переключаться между режимами при формировании критериев фильтрации. Для переключения в режим исходного кода выберите вкладку Код. При переключении между режимами сформированные фильтры условий сохраняются. Если после привязки созданного фильтра к ресурсу на вкладке Код не отображается код фильтра, выберите вкладку Конструктор, после чего снова выберите вкладку Код для отображения кода фильтра.

Формирование критериев фильтрации в режиме конструктора

Для формирования критериев фильтрации в режиме конструктора вам нужно выбрать один из следующих операторов в раскрывающемся списке:

И – фильтр отбирает события, которые соответствуют всем указанным условиям.
ИЛИ – фильтр отбирает события, которые соответствуют одному из указанных условий.
НЕ – фильтр отбирает события, которые не соответствуют всем указанным условиям.

Критерии фильтрации можно добавить одним из следующих способов:

Если вы хотите добавить условие, нажмите на кнопку + Добавить условие.
Если вы хотите добавить группу условий, нажмите на кнопку + Добавить группу. При добавлении групп условий вы также можете выбирать операторы И, ИЛИ и НЕ. В группу условий в свою очередь можно добавить условия и группы условий.

Вы можете добавить несколько критериев фильтрации, изменить порядок критериев фильтрации и удалить критерии фильтрации. Для изменения порядка критериев фильтрации используйте значки изменения порядка DragIcon . Для удаления критерия фильтрации нажмите рядом с ним на значок удаления cross-black .

Доступные параметры условия описаны в таблице ниже.

Параметр

Описание

<Тип условия>

Тип условия. По умолчанию выбрано значение Если. Вы можете нажать значение по умолчанию и выбрать в отобразившемся раскрывающемся списке значение Если не.

Обязательный параметр.

<Левый операнд> и <Правый операнд>

Значения, которые будет обрабатывать оператор. Доступные типы значений для правого операнда зависят от выбранного оператора.

Операнды фильтров

Поля событий – в этом разделе вы можете указать поле событие, которое требуется использовать как операнд фильтра.
Активные листы – в этом разделе вы можете указать активный лист или поле активного листа, которое требуется использовать как операнд фильтра. При выборе активного листа вам нужно указать одно или несколько полей событий, которые используются для создания записи активного листа и выступают ключом записи активного листа. Для завершения указания полей событий нажмите комбинацию клавиш Ctrl/Command+F1.
Если вы не указали оператор inActiveList, вам нужно указать имя поля активного листа, которое требуется использовать как операнд фильтра.
Контекстные таблицы – в этом разделе вы можете указать значение контекстной таблицы, которое требуется использовать как операнд фильтра. При выборе контекстной таблицы вам нужно указать поле события, которое
- название контекстной таблицы (обязательно) – контекстная таблица, которую требуется использовать.
- ключевые поля (обязательно) – поля событий или локальные переменные, которые используются для создания записи контекстной таблицы и выступают ключом записи контекстной таблицы.
- поле – имя поля контекстной таблицы, из которого требуется извлечь значение операнда.
- индекс – индекс списочного поля таблицы, из которого требуется извлечь значение операнда.
Словарь – значение из ресурса словарь, которое требуется присвоить операнду. Дополнительные параметры:
- словарь (обязательно) – словарь, который требуется использовать.
- ключевые поля (обязательно) – поля событий, которые используются для формирования ключа значения словаря.
Константа – пользовательское значение, которое требуется присвоить операнду. Дополнительные параметры:
- значение (обязательно) – константа, которую требуется присвоить операнду.
Таблица – пользовательские значения, которые требуется присвоить операнду. Дополнительные параметры:
- словарь (обязательно) – тип словаря. Вам нужно выбрать тип словаря Таблица.
- ключевые поля (обязательно) – поля событий, которые используются для формирования ключа значения словаря.
Список – пользовательские значения, которые требуется присвоить операнду. Дополнительные параметры:
- значение (обязательно) – константы, которые требуется присвоить операнду. Когда вы вводите значение в поле и нажимаете ENTER, значение добавляется в список, и вы можете ввести новое значение.
TI – параметры чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры:
- поток (обязательно) – категория угрозы CyberTrace.
- ключевые поля (обязательно) – поле события с индикаторами угроз CyberTrace.
- поле (обязательно) – поле фида CyberTrace с индикаторами угроз.

Обязательные параметры.

<Оператор>

Оператор условия. При выборе оператора условия в раскрывающемся списке вы можете установить флажок без учета регистра, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit и inDictionary. По умолчанию этот флажок снят.

Операторы фильтров

= – левый операнд равен правому операнду.
< – левый операнд меньше правого операнда.
<= – левый операнд меньше или равен правому операнду.
> – левый операнд больше правого операнда.
>= – левый операнд больше или равен правому операнду.
inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
contains – левый операнд содержит значения правого операнда.
startsWith – левый операнд начинается с одного из значений правого операнда.
endsWith – левый операнд заканчивается одним из значений правого операнда.
match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
inContextTable – присутствует ли в указанной контекстной таблице запись.
intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.

Вы можете изменить и удалить указанный оператор. Для изменения оператора нажмите на него и укажите новый оператор. Для удаления оператора нажмите на него, после чего нажмите на клавишу Backspace.

Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).

Доступные типы операндов для левого (L) и правого (R) операндов

Оператор	Тип "поле события"	Тип "активный лист"	Тип "словарь"	Тип "контекстная таблица"	Тип "таблица"	Тип "TI"	Тип "константа"	Тип "список"
=	L,R	L,R	L,R	L,R	L,R	L,R	R	R
>	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
>=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
inSubnet	L,R	L,R	L,R	L,R	L,R	L,R	R	R
contains	L,R	L,R	L,R	L,R	L,R	L,R	R	R
startsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
endsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
match	L	L	L	L	L	L	R	R
hasVulnerability	L	L	L	L	L
hasBit	L	L	L	L	L		R	R
inActiveList
inDictionary
inCategory	L	L	L	L	L		R	R
inContextTable
inActiveDirectoryGroup	L	L	L	L	L		R	R
TIDetect

При работе с фильтрами вы можете использовать горячие клавиши. Описание горячих клавиш приведено в таблице ниже.

Горячие клавиши и их функциональность

Клавиша	Функциональность
`e`	Вызывает фильтр по полю события
`d`	Вызывает фильтр по полю словаря
`a`	Вызывает фильтр по полю активного листа
`c`	Вызывает фильтр по полю контекстной таблицы
`t`	Вызывает фильтр по полю таблицы
`f`	Вызывает фильтр
`t+i`	Вызывает фильтр c использованием TI
`Ctrl+Enter`	Завершение редактирования условия

Работа с полями типа Строка, Число и Число с плавающей точкой расширенной схемы событий в фильтрах не отличается от работы с полями схемы событий KUMA.

При использовании фильтров с полями расширенной схемы событий с типами полей Массив строк, Массив целых чисел и Массив чисел с плавающей точкой вы можете использовать следующие операции:

Операция contains вернет значение True, если указанная подстрока присутствует в массиве, иначе вернет False.
Операция match – поиск в строке по регулярному выражению.
Операция intersec.

Формирование критериев фильтрации в режиме исходного кода

Режим исходного кода позволяет быстро изменять условия, выделять и копировать блоки кода. В правой части конструктора отображается навигатор для перемещения по коду фильтра. Перенос строк выполняется автоматически по логическим операторам И, ИЛИ, НЕ или запятым, являющимися разделителем элементов списка значений.

Для ресурсов, использованных в фильтре, автоматически указывается их наименование. Поля, содержащие наименования связанных ресурсов, невозможно изменить. Названия категорий общих ресурсов не отображаются в фильтре, если вам не назначена роль Доступ к общим ресурсам. Для просмотра списка ресурсов для выбранного операнда внутри выражения вам нужно нажать на комбинацию клавиш Ctrl+Space. В результате отобразится список ресурсов.

В поставку KUMA включены перечисленные в таблице ниже фильтры.

Предустановленные фильтры

Название фильтра	Описание
[OOTB][AD] A member was added to a security-enabled global group (4728)	Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was added to a security-enabled universal group (4756)	Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled global group (4729)	Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled universal group (4757)	Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] Account Created	Выбирает события создания учётной записи в ОС Windows.
[OOTB][AD] Account Deleted	Выбирает события удаления учётной записи в ОС Windows.
[OOTB][AD] An account failed to log on (4625)	Выбирает события безуспешной попытки входа в ОС Windows.
[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770)	Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена.
[OOTB][AD][Technical] 4768. TGT Requested	Выбирает события Microsoft Windows c идентификатором 4768.
[OOTB][Net] Possible port scan	Выбирает события, которые могут говорить о проведении сканирования портов.
[OOTB][SSH] Accepted Password	Выбирает события успешного подключения с использованием пароля по протоколу SSH.
[OOTB][SSH] Failed Password	Выбирает события попыток подключения с использованием пароля по протоколу SSH.

Активные листы

Активный лист – это контейнер для данных, которые используются корреляторами KUMA при анализе событий по правилам корреляции.

Например, если у вас есть список IP-адресов с плохой репутацией, вы можете:

Создать корреляционное правило типа operational и добавить в активный лист эти IP-адреса.
Создать корреляционное правило типа standard и указать активный лист в качестве условия фильтрации.
Создать коррелятор с этим правилом.
В этом случае KUMA выберет все события, которые содержат IP-адреса, внесенные в активный лист, и создаст корреляционное событие.

Вы можете наполнять активные листы автоматически с помощью корреляционных правил типа simple или импортировать файл с данными для активного листа.

Вы можете добавлять, копировать и удалять активные листы.

Активные листы можно использовать в следующих сервисах и функциях KUMA:

Правила корреляции.
Панель мониторинга.

Один и тот же активный лист может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность активного листа. Таким образом, содержимое активных листов, используемых разными корреляторами, различается, даже если идентификатор и название активных листов одинаковые.

В активный лист добавляются данные только по правилам корреляции, добавленным в коррелятор.

Вы можете добавлять, изменять, дублировать, удалять и экспортировать записи в активном листе коррелятора.

В процессе корреляции при удалении записей из активных листов по истечении срока жизни записи в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Правила корреляции можно настроить на отслеживание этих событий, чтобы обрабатывать эти события и с их помощью распознавать угрозы. Поля служебных событий удаления записи из активного листа описаны ниже.

Поле события	Значение или комментарий
`ID`	Идентификатор события
`Timestamp`	Время удаления записи, срок жизни которой истек
`Name`	`"active list record expired"`
`DeviceVendor`	`"Kaspersky"`
`DeviceProduct`	`"KUMA"`
`ServiceID`	Идентификатор коррелятора
`ServiceName`	Название коррелятора
`DeviceExternalID`	Идентификатор активного листа
`DevicePayloadID`	Ключ записи, чей срок жизни истек.
`BaseEventCount`	Увеличенное на единицу количество обновлений удаленной записи
S.<поле активного листа>	Выпавшая запись активного листа в формате: S.<поле активного листа> = <значение активного листа>

Просмотр таблицы активных листов

Чтобы просмотреть таблицу активных листов коррелятора:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
Нажмите на кнопку Смотреть активные листы.

Отобразится таблица Активные листы коррелятора.

Таблица содержит следующие данные:

Название – имя активного листа.
Записи – количество записей в активном листе.
Размер на диске – размер активного листа.
Каталог – путь к активному листу на сервере коррелятора KUMA.

Добавление активного листа

Чтобы добавить активный лист:

В веб-интерфейсе KUMA выберите раздел Ресурсы → Конфигурация ресурсов → Активные листы.
Нажмите на кнопку Добавить активный лист.
Выполните следующие действия:
1. В поле Название введите имя активного листа.
2. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
3. В поле Срок жизни укажите время, в течение которого в активном листе будет храниться добавленная в него запись.
  По истечении указанного времени запись удаляется. Время указывается в секундах.
  
  Значение по умолчанию: 0. Если в поле указано значение 0, запись хранится 36000 дней (около 100 лет).
4. В поле Теги укажите теги для поиска ресурса.
5. В поле Описание введите любую дополнительную информацию.
  Вы можете использовать до 4000 символов в кодировке Unicode.
  
  Поле необязательно для заполнения.
Нажмите на кнопку Сохранить.

Активный лист будет добавлен.

Просмотр параметров активного листа

Чтобы просмотреть параметры активного листа:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Ресурсы нажмите на кнопку Активные листы.
В столбце Название выберите активный лист, параметры которого вы хотите просмотреть.

Откроется окно с параметрами активного листа. В нем отображается следующая информация:

Идентификатор – идентификатор активного листа.
Название – уникальное имя ресурса.
Тенант – название тенанта, которому принадлежит ресурс.
Срок жизни – время, в течение которого в активном листе будет храниться добавленная в него запись. Указывается в секундах.
Описание – любая дополнительная информация о ресурсе.

Изменение параметров активного листа

Чтобы изменить параметры активного листа:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Ресурсы нажмите на кнопку Активные листы.
В столбце Название выберите активный лист, параметры которого вы хотите изменить.
Укажите значения для следующих параметров:
- Название – уникальное имя ресурса.
- Срок жизни – время, в течение которого в активном листе будет храниться добавленная в него запись. Указывается в секундах.
  Если в поле указано значение 0, запись хранится бессрочно.
- Описание – любая дополнительная информация о ресурсе.
Поля Идентификатор и Тенант недоступны для редактирования.

Дублирование параметров активного листа

Чтобы скопировать активный лист:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Ресурсы нажмите на кнопку Активные листы.
Установите флажок рядом с активным листом, который вы хотите скопировать.
Нажмите на кнопку Дублировать.
Укажите нужные вам параметры.
Нажмите на кнопку Сохранить.

Активный лист будет скопирован.

Удаление активного листа

Чтобы удалить активный лист:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Ресурсы нажмите на кнопку Активные листы.
Установите флажки рядом с активными листами, которые вы хотите удалить.
Если вы хотите удалить все листы, установите флажок рядом со столбцом Название.

Должен быть установлен хотя бы один флажок.
Нажмите на кнопку Удалить.
Нажмите на кнопку Ок.

Активные листы будут удалены.

Просмотр записей в активном листе

Чтобы просмотреть список записей в активном листе:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
В столбце Название выберите нужный вам активный лист.

Откроется таблица записей для выбранного листа.

Таблица содержит следующие данные:

Ключ – значение ключа записи.
Повторы записи – общее количество упоминаний записи в событиях и загрузок идентичных записей при импорте активных листов в KUMA.
Срок действия – дата и время, когда запись должна быть удалена.
Если при создании активного листа в поле Срок жизни было указано значение 0, записи этого активного листа хранятся 36000 дней (около 100 лет).
Создано – время создания активного листа.
Последнее обновление – время последнего обновления активного листа.

Поиск записей в активном листе

Чтобы найти запись в активном листе:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
В поле Поиск введите значение ключа записи или несколько знаков из ее ключа.

В таблице записей активного листа отобразятся только те записи, в ключе которых есть введенные символы.

Добавление записи в активный лист

Чтобы добавить запись в активный лист:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
Установите флажок напротив нужного коррелятора.
Нажмите Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
Нажмите на кнопку Добавить.
Откроется окно Создать новую запись.
Укажите значения для следующих параметров:
1. В поле Ключ введите имя записи.
  Вы можете указать несколько значений, используя символ "|".
  
  Поле Ключ не может быть пустым. Если поле остается пустым, при попытке сохранить изменения KUMA возвращает ошибку.
2. В поле Значение укажите значение для полей в столбце Поле.
  KUMA берет названия полей из корреляционных правил, к которым привязан активный лист. Эти названия недоступны для редактирования. Вы можете удалить эти поля при необходимости.
3. Если вы хотите добавить дополнительное значение, нажмите на кнопку Добавить элемент.
4. В столбце Поле укажите название поля.
  Название должно соответствовать следующим требованиям:
  - название уникально;
  - не содержит табуляцию;
  - не содержит специальные символы, кроме символа нижнего подчеркивания;
  - максимальное количество символов – 128.
    Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.
5. В столбце Значение укажите значение для этого поля.
  Оно должно соответствовать следующим требованиям:
  - не содержит табуляцию;
  - не содержит специальные символы, кроме символа нижнего подчеркивания;
  - максимальное количество символов – 1024.
  Поле необязательно для заполнения.
Нажмите на кнопку Сохранить.

Запись будет добавлена. После сохранения записи в активном листе будут отсортированы в алфавитном порядке.

Дублирование записей в активном листе

Чтобы дублировать запись в активном листе:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
Нажмите Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
Установите флажок для записи, которую вы хотите скопировать.
Нажмите на кнопку Дублировать.
Укажите нужные вам параметры.
Поле Ключ не может быть пустым. Если поле остается пустым, при попытке сохранить изменения KUMA возвращает ошибку.

Редактирование названий полей в столбце Поле для записей, добавленных в активный лист ранее, недоступно. Вы можете менять названия только для записей, добавленных в момент редактирования. Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.
Нажмите на кнопку Сохранить.

Запись будет скопирована. После сохранения записи в активном листе будут отсортированы в алфавитном порядке.

Изменение записи в активном листе

Чтобы изменить запись в активном листе:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
Нажмите Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
Нажмите на название записи в столбце Ключ.
Укажите требуемые значения.
Нажмите на кнопку Сохранить.

Запись будет изменена. После сохранения записи в активном листе будут выстроены в алфавитном порядке.

Ограничения, действующие при редактировании записи:

Название записи недоступно для редактирования. Вы можете изменить его, выполнив импорт аналогичных данных с другим названием.
Редактирование названий полей в столбце Поле для записей, добавленных в активный лист ранее, недоступно. Вы можете менять названия только для записей, добавленных в момент редактирования. Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.
Значения в столбце Значение должны соответствовать следующим требованиям:
- не содержит буквы русского алфавита;
- не содержит пробелы и табуляцию;
- не содержит специальные символы, кроме символа нижнего подчеркивания;
- максимальное количество символов – 128.

Удаление записей в активном листе

Чтобы удалить записи из активного листа:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
Нажмите Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
Установите флажки для записей, которые вы хотите удалить.
Если вы хотите удалить все записи, установите флажок рядом с названием столбца Ключ.

Должен быть установлен хотя бы один флажок.
Нажмите на кнопку Удалить.
Нажмите на кнопку Ок.

Записи будут удалены.

Импорт данных в активный лист

Чтобы импортировать данные в активный лист:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
Нажмите Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
Наведите курсор мыши на строку с требуемым активным листом.
Нажмите на слева от названия активного листа.
Выберите Импортировать.
Откроется окно импорта активного листа.
В поле Файл выберите файл, который требуется импортировать.
В раскрывающемся списке Формат выберите формат файла:
- csv.
- tsv.
- internal.
В поле Ключевое поле введите название столбца с ключами записей активного листа.
Нажмите на кнопку Импортировать.

Данные из файла будут импортированы в активный лист. Записи, внесенные в лист ранее, сохраняются.

При импорте данные из файла не проходят проверку на допустимые символы. Если вы будете использовать эти данные в виджетах, при наличии недопустимых символов в данных виджеты будут отображаться некорректно.

Экспорт данных из активного листа

Чтобы экспортировать активный лист:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
Наведите курсор мыши на строку с требуемым активным листом.
Нажмите на слева от нужного активного листа.
Нажмите на кнопку Экспортировать.

Активный лист будет загружен в формате JSON с использованием настроек вашего браузера. Название загруженного файла соответствует названию активного листа.

Предустановленные активные листы

В поставку KUMA включены перечисленные в таблице ниже активные листы.

Предустановленные активные листы

Название активного листа	Описание
[OOTB][AD] End-users tech support accounts	Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Successful authentication with same user account on multiple hosts. В активный список могут быть добавлены учётные записи сотрудников технической поддержки. Записи не удаляются из активного списка.
[OOTB][AD] List of sensitive groups	Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Membership of sensitive group was modified. В активный список могут быть добавлены критичные доменные группы, членство в которых необходимо отслеживать. Записи не удаляются из активного списка.
[OOTB][Linux] CompromisedHosts	Активный список наполняется правилом [OOTB] Successful Bruteforce потенциально скомпрометированными хостами под управлением ОС Linux. Записи удаляются из списка через 24 часа после внесения.

Прокси-серверы

Прокси-серверы используются для хранения параметров конфигурации прокси-серверов, например в точках назначения. Поддерживается тип http. Доступные параметры прокси-сервера описаны в таблице ниже.

Доступные параметры прокси-сервера

Параметр	Описание
Название	Уникальное имя прокси-сервера. Максимальная длина имени: от 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Секрет отдельно	Просмотр информации о подключении. Если флажок установлен, в окне отображаются следующие параметры: URL – URL подключения. Секрет – секрет типа credentials. Вы сможете просматривать информацию о подключении и вам не придется повторно создавать большое количество подключений при изменении пароля учетной записи, которую вы использовали для подключений. По умолчанию флажок снят.
Брать URL из секрета	Ресурс секрета, в котором хранятся URL прокси-серверов. Вы можете создать и изменить секрет. Для создания секрета нажмите на значок плюса (). Для изменения секрета нажмите на значок карандаша ().
Не использовать на доменах	Один или несколько доменов, к которым требуется прямой доступ.
Описание	Описание прокси-сервера. Максимальная длина описания: до 4000 символов в кодировке Unicode.

Словари

Описание параметров

Словари – это ресурсы, в которых хранятся данные, которые могут использоваться другими ресурсами и сервисами KUMA. Словари могут использоваться в следующих сервисах и функциях KUMA:

Коллектор.
Правила корреляции.
Нормализаторы.

Доступные параметры словаря описаны в таблице ниже.

Доступные параметры словаря

Параметр	Описание
Название	Уникальное имя для этого типа ресурса. Максимальная длина имени: до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Описание	Описание ресурса. Максимальная длина описания: до 4000 символов в кодировке Unicode.
Тип	Тип словаря. От выбранного типа словаря зависит формат данных, которые может содержать словарь: В тип Словарь можно добавлять пары ключ–значение. Мы не рекомендуем добавлять в словари этого типа более 50 000 записей через веб-интерфейс KUMA. При добавлении в словарь строк с одинаковыми ключами каждая новая строка будет записана поверх уже существующий строки с тем же самым ключом. В итоге в словарь будет добавлена только одна строка. В тип Таблица можно добавлять данные в виде сложных таблиц. Вы можете взаимодействовать с этим типом словарей можно с помощью REST API. При добавлении словарей через API ограничение на количество записей отсутствует. Обязательный параметр.
Значения	Таблица с данными словаря. Для типа Словарь в блоке отображается перечень пар Ключ – Значение. Вы можете добавлять и удалять строки из таблицы. Для добавления строки в таблицу нажмите на кнопку . Для удаления строки из таблицы наведите курсор мыши на строку таблицы и нажмите на отобразившуюся кнопку . В поле Ключ вам нужно указать уникальный ключ. Максимальная длина ключа: 128 символов в кодировке Unicode. Первый символ не может быть $. В поле Значение вам нужно указать значение. Максимальная длина значения: 255 символов в кодировке Unicode. Первый символ не может быть $. Вы можете добавить одну или несколько пар Ключ – Значение. Для типа Таблица в блоке отображается таблица с данными. Вы можете добавлять и удалять строки и столбцы из таблицы. Для добавления строки или столбца в таблицу нажмите на кнопку . Для удаления строки или столбца из таблицы наведите курсор мыши на строку или заголовок столбца таблицы и нажмите на отобразившуюся кнопку . Заголовки столбцов таблицы можно редактировать. Если словарь содержит больше 5000 записей, они не отображаются в веб-интерфейсе KUMA. Для просмотра содержимого таких словарей содержимое необходимо экспортировать в формат CSV. Если CSV-файл отредактировать и снова импортировать в KUMA, словарь будет обновлен.

Импорт и экспорт словарей

Данные словарей можно импортировать или экспортировать в формате CSV (в кодировке UTF-8) с помощью кнопок Импортировать CSV и Экспортировать CSV.

Формат CSV-файла зависит от типа словаря:

Тип Словарь:
{КЛЮЧ},{ЗНАЧЕНИЕ}\n
Тип Таблица:
{Заголовок столбца 1},{Заголовок столбца N},{Заголовок столбца N+1}\n

{Ключ1},{ЗначениеN},{ЗначениеN+1}\n

{Ключ2},{ЗначениеN},{ЗначениеN+1}\n

Ключи должны быть уникальными как для CSV-файла, так и для словаря. В таблицах ключи указываются в первом столбце. Ключ должен содержать от 1 до 128 символов в кодировке Unicode.

Значения должны содержать от нуля до 256 символов в кодировке Unicode.

При импорте содержимое словаря перезаписывается загружаемым файлом. При импорте в словарь также изменяется название ресурса, чтобы отразить имя импортированного файла.

При экспорте, если ключ или значение содержат символы запятой или кавычек (, и "), они заключаются в кавычки ("). Кроме того, символ кавычки (") экранируется дополнительной кавычкой (").

Если в импортируемом файле обнаружены некорректные строки (например, неверные разделители), то при импорте в словарь такие строки будут проигнорированы, а при импорте в таблицу процесс импорта будет прерван.

Взаимодействие со словарями через API

С помощью REST API можно считывать содержимое словарей типа Таблица, а также изменять его, даже если эти ресурсы используются активными сервисами. Это позволяет, например, настроить обогащение событий данными из динамически изменяемых таблиц, выгружаемых из сторонних приложений.

Предустановленные словари

В поставку KUMA включены перечисленные в таблице ниже словари.

Предустановленные словари

Название словаря	Тип	Описание
[OOTB] Ahnlab. Severity	dictionary	Содержит таблицу соответствия между идентификатором приоритета и его названием.
[OOTB] Ahnlab. SeverityOperational	dictionary	Содержит значения параметра SeverityOperational и соответствующее ему описание.
[OOTB] Ahnlab. VendorAction	dictionary	Содержит таблицу соответствия между идентификатором выполняемой операции и ее названием.
[OOTB] Cisco ISE Message Codes	dictionary	Содержит коды событий Cisco ISE и соответствующие им имена.
[OOTB] DNS. Opcodes	dictionary	Содержит таблицу соответствия между десятичными кодами операций DNS и их описаниями, зарегистрированными IANA.
[OOTB] IANAProtocolNumbers	dictionary	Содержит номера портов транспортных протоколов (TCP, UDP) и соответствующие им имена сервисов, зарегистрированные IANA.
[OOTB] Juniper - JUNOS	dictionary	Содержит идентификаторы событий JUNOS и соответствующие им описания.
[OOTB] KEDR. AccountType	dictionary	Содержит идентификатор типа учетной записи и соответствующее ему наименование типа.
[OOTB] KEDR. FileAttributes	dictionary	Содержит идентификаторы атрибутов файлов, хранимые файловой системой, и соответствующие им описания.
[OOTB] KEDR. FileOperationType	dictionary	Содержит идентификаторы операций с файлами из API KATA и соответствующие им названия операции.
[OOTB] KEDR. FileType	dictionary	Содержит идентификаторы измененного файла из API KATA и соответствующие им описания типов файлов.
[OOTB] KEDR. IntegrityLevel	dictionary	Содержит SID параметра INTEGRITY LEVEL операционной системы Microsoft Windows и соответствующие им описания.
[OOTB] KEDR. RegistryOperationType	dictionary	Содержит идентификаторы операций с реестром из API KATA и соответствующие им значения.
[OOTB] Linux. Sycall types	dictionary	Содержит идентификаторы системных вызовов ОС Linux и соответствующие им названия.
[OOTB] MariaDB Error Codes	dictionary	Словарь содержит коды ошибок СУБД MariaDB и используется нормализатором [OOTB] MariaDB Audit Plugin syslog для обогащения событий.
[OOTB] Microsoft SQL Server codes	dictionary	Содержит идентификаторы ошибок MS SQL Server и соответствующие им описания.
[OOTB] MS DHCP Event IDs Description	dictionary	Содержит идентификаторы событий DHCP сервера Microsoft Windows и соответствующие им описания.
[OOTB] S-Terra. Dictionary MSG ID to Name	dictionary	Содержит идентификаторы событий устройств S-Terra и соответствующие им имена событий.
[OOTB] S-Terra. MSG_ID to Severity	dictionary	Содержит идентификаторы событий устройств S-Terra и соответствующие им значения Severity.
[OOTB] Syslog Priority To Facility and Severity	table	Таблица содержит значения Priority и соответствующие ему значения полей Facility and Severity.
[OOTB] VipNet Coordinator Syslog Direction	dictionary	Содержит идентификаторы направления (последовательность специальных символов), используемые в ViPNet Coordinator для обозначения направления, и соответствующие им значения.
[OOTB] Wallix EventClassId - DeviceAction	dictionary	Cодержит идентификаторы событий Wallix AdminBastion и соответствующие им описания.
[OOTB] Windows.Codes (4738)	dictionary	Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4738, и соответствующие им имена.
[OOTB] Windows.Codes (4719)	dictionary	Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4719, и соответствующие им имена.
[OOTB] Windows.Codes (4663)	dictionary	Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4663, и соответствующие им имена.
[OOTB] Windows.Codes (4662)	dictionary	Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4662, и соответствующие им имена.
[OOTB] Windows. EventIDs and Event Names mapping	dictionary	Содержит идентификаторы событий ОС Windows и соответствующие имена событий.
[OOTB] Windows. FailureCodes (4625)	dictionary	Содержит идентификаторы из полей Failure Information\Status и Failure Information\Sub Status события 4625 Microsoft Windows и соответствующие им описания.
[OOTB] Windows. ImpersonationLevels (4624)	dictionary	Содержит идентификаторы из поля Impersonation level событий с идентификатором 4624 Microsoft Windows и соответствующие им описания.
[OOTB] Windows. KRB ResultCodes	dictionary	Содержит коды ошибок Kerberos v5 и соответствующие им описания.
[OOTB] Windows. LogonTypes (Windows all events)	dictionary	Содержит идентификаторы типов входов пользователя и соответствующие им наименования.
[OOTB] Windows_Terminal Server. EventIDs and Event Names mapping	dictionary	Содержит идентификаторы событий Microsoft Terminal Server и соответствующие им имена.
[OOTB] Windows. Validate Cred. Error Codes	dictionary	Содержит идентификаторы типов входов пользователя и соответствующие им наименования.
[OOTB] ViPNet Coordinator Syslog Direction	dictionary	Содержит идентификаторы направления (последовательность специальных символов), используемые в ViPNet Coordinator для обозначения направления и соответствующие им значения.
[OOTB] Syslog Priority To Facility and Severity	table	Cодержит значения Priority и соответствующие ему значения полей Facility and Severity.

Правила реагирования для Kaspersky Security Center

Правила реагирования

Правила реагирования запускают для заданных событий автоматическое выполнение задач Kaspersky Security Center, действия по реагированию для Kaspersky Endpoint Detection and Response, KICS/KATA, Active Directory и запуск пользовательского скрипта.

Автоматическое выполнение задач Kaspersky Security Center, Kaspersky Endpoint Detection and Response, KICS/KATA и Active Directory по правилам реагирования доступно при интеграции с перечисленными программами.

Вы можете настроить правила реагирования в разделе Ресурсы → Реагирование, а затем выбрать созданное правило реагирования в раскрывающемся списке в настройках коррелятора. Правила реагирования также можно настроить напрямую в настройках коррелятора.

В этом разделе

Правила реагирования для пользовательского скрипта

Правила реагирования для KICS for Networks

Правила реагирования для Kaspersky Endpoint Detection and Response

Правила реагирования через Active Directory

Правила реагирования с EDR-действиями

Правила реагирования для Kaspersky Security Center

Вы можете настроить правила реагирования для автоматического запуска задач антивирусной проверки и обновления на активах Kaspersky Security Center.

При создании и изменении правил реагирования для Kaspersky Security Center вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр	Описание
Название	Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Тенант	Обязательный параметр. Название тенанта, которому принадлежит ресурс.
Тип	Обязательный параметр, доступен при интеграции KUMA с Kaspersky Security Center. Тип правила реагирования, ksctasks.
Задача Kaspersky Security Center	Обязательный параметр. Название задачи Kaspersky Security Center, которую требуется запустить. Задачи должны быть созданы заранее, их названия должны начинаться со слова "`KUMA`". Например, `KUMA antivirus check` (без учета регистра и без кавычек). С помощью KUMA можно запустить следующие типы задач Kaspersky Security Center: обновление; поиск вирусов.
Поле события	Обязательный параметр. Определяет поле события для актива, для которого нужно запустить задачу Kaspersky Security Center. Возможные значения: SourceAssetID. DestinationAssetID. DeviceAssetID.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
Описание	Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode.
Фильтр	Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. Создание фильтра в ресурсах Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.

Если правила реагирования принадлежат Общему тенанту, то в качестве доступных для выбора задач Kaspersky Security Center отображаются задачи от сервера Kaspersky Security Center, к которому подключен главный тенант.

Если в правиле реагирования выбрана задача, которая отсутствует на сервере Kaspersky Security Center, к которому подключен тенант, для активов этого тенанта задача не будет выполнена. Такая ситуация может возникнуть, например, когда два тенанта используют общий коррелятор.

Правила реагирования для пользовательского скрипта

Вы можете создать скрипт с командами, которые требуется выполнить на сервере KUMA при обнаружении выбранных событий, и настроить правила реагирования для автоматического запуска этого скрипта. В этом случае программа запустит скрипт при получении событий, соответствующих правилам реагирования.

Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts. Пользователю kuma этого сервера требуются права на запуск скрипта.

При создании и изменении правил реагирования для произвольного скрипта вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр	Описание
Название	Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Тенант	Обязательный параметр. Название тенанта, которому принадлежит ресурс.
Тип	Обязательный параметр. Тип правила реагирования, script.
Время ожидания	Количество секунд, в течение которого должно завершиться выполнение скрипта. Если это время превышено, выполнение скрипта прерывается.
Название скрипта	Обязательный параметр. Имя файла скрипта. Если ресурс реагирования прикреплен к сервису коррелятора, но в папке /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts файл скрипта отсутствует, коррелятор не будет работать.
Аргументы скрипта	Параметры или значения полей событий, которые необходимо передать скрипту. Если в скрипте производятся какие-либо действия с файлами, к ним следует указывать абсолютный путь. Параметры можно обрамлять кавычками ("). Имена полей событий передаются в формате `{{.EventField}}`, где `EventField` – это имя поля события, значение которого должно быть передано в скрипт. Пример: `-n "\"usr\": {{.SourceUserName}}"`
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
Описание	Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode.
Фильтр	Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. Создание фильтра в ресурсах Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Правила реагирования для KICS for Networks

Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах KICS for Networks. Например, изменить статус актива в KICS for Networks.

При создании и изменении правил реагирования для KICS for Networks вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр	Описание
Название	Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Тенант	Обязательный параметр. Название тенанта, которому принадлежит ресурс.
Тип	Обязательный параметр. Тип правила реагирования, Реагирование через KICS/KATA.
Поле события	Обязательный параметр. Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения: SourceAssetID. DestinationAssetID. DeviceAssetID.
Задача KICS for Networks	Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию: Изменить статус актива на Разрешенное. Изменить статус актива на Неразрешенное. При срабатывании правила реагирования из KUMA в KICS for Networks будет отправлен API-запрос на изменение статуса указанного устройства на Разрешенное или Неразрешенное.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
Описание	Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode.
Фильтр	Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. Создание фильтра в ресурсах Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Правила реагирования для Kaspersky Endpoint Detection and Response

Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах Kaspersky Endpoint Detection and Response. Например, вы можете настроить автоматическую изоляцию актива от сети.

При создании и изменении правил реагирования для Kaspersky Endpoint Detection and Response вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр	Описание
Поле события	Обязательный параметр. Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения: SourceAssetID. DestinationAssetID. DeviceAssetID.
Тип задачи	Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию: Включить сетевую изоляцию. При выборе этого типа реагирования вам нужно задать значения для параметра: Срок действия изоляции – количество часов, в течение которых будет действовать сетевая изоляция актива. Вы можете указать от 1 до 9999 часов. При необходимости вы можете добавить исключение для сетевой изоляции. Чтобы добавить исключение для сетевой изоляции: Нажмите на кнопку Добавить исключение. Выберите направление сетевого трафика, которое не должно быть заблокировано: Входящее. Исходящее. Входящее/Исходящее. В поле IP актива введите IP-адрес актива, сетевой трафик которого не должен быть заблокирован. Если вы выбрали Входящее или Исходящее, укажите порты подключения в полях Удаленные порты и Локальные порты. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить исключение и повторите действия по заполнению полей Направление трафика, IP актива, Удаленные порты и Локальные порты. Если вы хотите удалить исключение, нажмите на кнопку Удалить под нужным вам исключением. При добавлении исключений в правило сетей изоляции Kaspersky Endpoint Detection and Response может некорректно отображать значения портов в информации о правиле. Это не влияет на работоспособность программы. Подробнее о просмотре правила сетевой изоляции см. в справке Kaspersky Anti Targeted Attack Platform. Выключить сетевую изоляцию. Добавить правило запрета. При выборе этого типа реагирования вам нужно задать значения для следующих параметров: Поля события для получения хеш-суммы – поля событий, из которых KUMA извлекает SHA256- или MD5-хеши файлов, запуск которых требуется запретить. Выбранные поля событий, а также значения, выбранные в Поле события, требуется добавить в наследуемые поля правила корреляции. Хеш файла №1 – SHA256- или MD5-хеш файла, который требуется запретить. Хотя бы одно из указанных выше полей должно быть заполнено. Удалить правило запрета. Запустить программу. При выборе этого типа реагирования вам нужно задать значения для следующих параметров: Путь к файлу – путь к файлу процесса, который вы хотите запустить. Аргументы командной строки – параметры, с которыми вы хотите запустить файл. Текущая директория – директория, в которой на момент запуска располагается файл. При срабатывании правила реагирования для пользователей с ролью главный администратор в разделе Диспетчер задач веб-интерфейса программы отобразится задача Запустить программу. В столбце Создал таблицы задач для этой задачи отображается Задача по расписанию. Вы можете просмотреть результат выполнения задачи. Все перечисленные операции выполняются на активах с Kaspersky Endpoint Agent для Windows. На активах с Kaspersky Endpoint Agent для Linux выполняется только запуск программы. На программном уровне возможность создания правил запрета и сетевой изоляции для активов с Kaspersky Endpoint Agent для Linux не ограничена. KUMA и Kaspersky Endpoint Detection and Response не уведомляют о неуспешном применении этих правил.
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
Описание	Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode.
Фильтр	Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. Создание фильтра в ресурсах Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Правила реагирования через Active Directory

Правила реагирования через Active Directory определяют действия, которые будут применяться к учетной записи в случае срабатывания правила.

При создании и изменении правил реагирования через Active Directory вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр	Описание
Название	Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Тенант	Обязательный параметр. Название тенанта, которому принадлежит ресурс.
Тип	Обязательный параметр. Тип правила реагирования, Реагирование через Active Directory.
Источник идентификатора учетной записи	Поле события, откуда будет взято значение идентификатора учетной записи Active Directory. Возможные значения: SourceAccountID DestinationAccountID
Команда Active Directory	Команда, которая будет применяться к учетной записи при срабатывании правила реагирования. Доступные значения: Добавить учетную запись в группу Группа Active Directory, из которой или в которую необходимо переместить учетную запись. В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе. Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru. В рамках одной операции можно указать только одну группу. Удалить учетную запись из группы Группа Active Directory, из которой или в которую необходимо переместить учетную запись. В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе. Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru. В рамках одной операции можно указать только одну группу. Сбросить пароль учетной записи Если в вашем домене Active Directory для учетных записей допускается установка флажка User cannot change password, использование в качестве реагирования сброса пароля учетной записи приведет к коллизии требований к учетной записи: пользователь не сможет аутентифицироваться. Администратору домена потребуется снять один из флажков для затронутой учетной записи: User cannot change password или User must change password at next logon. Блокировать учетную запись
DN группы	DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для каждой роли. Пример ввода группы: OU=KUMA users,OU=users,DC=example,DC=domain
Обработчики	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
Фильтр	Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. Создание фильтра в ресурсах Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке Оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Правила реагирования с EDR-действиями

Начиная с версии KUMA 3.4.1 и Kaspersky Endpoint Security для Windows 12.9 добавлена поддержка EDR-действий при реагировании на угрозы. При получении корреляционных событий KUMA выполняет EDR-действия. Для выполнения EDR-действий вам нужно предварительно настроить правила реагирования. В свойствах правил реагирования следует задать аргументы скриптов, которые доступны для скачивания. При срабатывании правила реагирования Kaspersky Endpoint Security выполняет EDR-действия и создает в Kaspersky Security Center следующие задачи:

onDemandScan.py — проверка важных областей.
ioCScan.py — поиск индикаторов компрометации.
quarantineFile.py — помещение файла на карантин.
deleteFile.py — удаление файла.
getFile.py — получение файла.
isolateHost.py — сетевая изоляция компьютера.
preventExecution.py — запрет запуска объектов.
Для выполнения этой задачи важно убедиться, что в Kaspersky Security Center в разделе Активы (Устройства) → Политики и профили политик → <название политики Kaspersky Endpoint Security> → Параметры приложения → Detection and Response → Endpoint Detection and Response переключатель Запрет запуска ВКЛЮЧЕН находится в неактивном положении.
startProcess.py — запуск процесса.
terminateProcess.py — завершение процесса.

При настройке правил реагирования с EDR-действиями мы рекомендуем учитывать нагрузку на компьютер при запуске задач. Если в результате работы правил реагирования скрипты создадут слишком много задач, производительность компьютера может снизиться. Если запросов будет слишком много, будет выполняться ротация запросов независимо от того, был ли выполнен запрос. Kaspersky Endpoint Security позволяет создавать не более 100 задач. При достижении этого ограничения Kaspersky Endpoint Security выполняет ротацию задач в Kaspersky Security Center. Срок жизни задачи составляет 30 дней.

Вы можете контролировать выполнение EDR-действий в консоли администрирования с помощью отчетов. Kaspersky Endpoint Security формирует события с описанием в формате '[Response][kuma] $<script name> - $<date>';. Описание в таком формате позволяет создавать выборки событий для EDR-действий.

Настройка реагирования с EDR-действиями

Предварительные условия

Перед настройкой реагирования с EDR-действиями убедитесь, что выполнены следующие предварительные условия:

Настроена интеграция с Kaspersky Security Center.
В Kaspersky Security Center создан отдельный пользователь, у которого есть права на выполнение всех задач.
Настроена интеграция с Kaspersky Endpoint Security.
На хосте с коррелятором выполнены следующие действия:
1. Установлен Python версии 3.6 или выше и пакет Python KlAkOAPI.
2. Скрипты скачаны по ссылке и размещены в директории /opt/kaspersky/kuma/correlator/<Correlator ID>/scripts.
3. Скрипты подключены к Kaspersky Security Center.
  Поскольку учетные данные не защищены, мы рекомендуем использовать отдельного пользователя Kaspersky Security Center, созданного в п.2, для подключения скриптов к Kaspersky Security Center, а также ограничить доступ к директории со скриптами. Для подключения следует открыть скрипты в режиме редактирования и оформить строки следующим образом:
  
  # KSC connection info
  
  # reads Environment variables by default, change with corresponding values
  
  # KSC host, string, required
  
  kscHost = "kscHost"
  
  # KSC port, required, default is "13299"
  
  kscPort = "13299"
  
  # KSC certificate file path, default is False
  
  kscCert = False
  
  # KSC user, string, required
  
  kscUser = "kscUser"
  
  # KSC password, string, required
  
  kscPassword = "kscPassword"

Настройка реагирования

После того как преварительные условия выполнены, создайте правило реагирования в корреляторе KUMA:

В разделе KUMA Ресурсы и сервисы → Корреляторы создайте коррелятор или откройте действующий коррелятор в режиме редактирования.
В мастере создания коррелятора на шаге Реагирование нажмите Добавить правило реагирования и в открывшемся окне Реагирование заполните следующие поля:
1. В поле Название укажите произвольное название правила реагирования.
2. В поле Тенант укажите название тенанта.
3. В раскрывающемся списке Тип укажите тип правила реагирования Запуск скрипта.
4. В поле Время ожидания укажите количество секунд, в течение которого должно завершиться выполнение скрипта. Если указанное значение превышено, выполнение скрипта прерывается. Установите значение 10 мин.
5. В поле Название скрипта укажите название скрипта. Например, deleteFile.py.
6. В поле Аргументы скрипта укажите параметры или значения полей событий, которые необходимо передать скрипту. Чтобы указывать неэкранированные символы в параметрах, используйте одинарные кавычки. Аргументы представлены для каждого скрипта в раскрывающихся блоках.
  onDemandScan.py — проверка важных областей
  Скрипт onDemandScan автоматически создает и запускает задачу Проверка важных областей при обнаружении определенных событий KUMA. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
  
  Ограничения
  
  Если у вас развернуто решение Kaspersky Sandbox или KATA Sandbox, после обновления плагина управления до версии 12.9 вам нужно переустановить фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования. Это нужно для обновления прав пользователей на новую функциональность поддержки EDR-действий по реагированию на угрозы для KUMA.
  
  Аргументы
  
  Для настройки задачи Проверка важных областей вам нужно задать следующие аргументы для скрипта:
  
  --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --recursive true|false – режим рекурсивной проверки. Введите этот аргумент вручную.
  
  --path – список файлов и папок для выборочной проверки через пробел.
  
  Вы также можете выбрать предустановленный области проверки. В Kaspersky Endpoint Security предустановлены следующие объекты для формирования области проверки:
  - Моя почта.
    Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST).
  - Системная память.
  - Объекты автозапуска.
    Память, занятая процессами, и исполняемые файлы приложения, которые запускаются при старте операционной системы.
  - Загрузочные секторы.
    Загрузочные секторы жестких и съемных дисков.
  - Системное резервное хранилище.
    Содержимое папки System Volume Information.
  - Все внешние устройства.
  - Все жесткие диски.
  - Все сетевые диски.
  Для этого вам нужно в скрипте onDemandScan для параметра "enabled" соответствующей области проверки установить значение True или False:
  
  defaultPreset = [ {"enabled": False, "path": "%personal%", "recursive": True, "type": ScanObjectType.Folder.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.Email.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.SystemMemory.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.StartupObjectsAndRunningProcesses.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.DiskBootSectors.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.SystemBackupStorage.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllRemovableDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllFixedDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllNetworkDrives.value}
  
  Пример
  
  python3 onDemandScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --recurive false --path 'C:\Program Files (x86)\Example Folder'
  Скрипт onDemandScan автоматически создает и запускает задачу Проверка важных областей при обнаружении определенных событий KUMA. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
  
  Ограничения
  
  Если у вас развернуто решение Kaspersky Sandbox или KATA Sandbox, после обновления плагина управления до версии 12.9 вам нужно переустановить фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования. Это нужно для обновления прав пользователей на новую функциональность поддержки EDR-действий по реагированию на угрозы для KUMA.
  
  Аргументы
  
  Для настройки задачи Проверка важных областей вам нужно задать следующие аргументы для скрипта:
  
  --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --recursive true|false – режим рекурсивной проверки. Введите этот аргумент вручную.
  
  --path – список файлов и папок для выборочной проверки через пробел.
  
  Вы также можете выбрать предустановленный области проверки. В Kaspersky Endpoint Security предустановлены следующие объекты для формирования области проверки:
  - Моя почта.
    Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST).
  - Системная память.
  - Объекты автозапуска.
    Память, занятая процессами, и исполняемые файлы приложения, которые запускаются при старте операционной системы.
  - Загрузочные секторы.
    Загрузочные секторы жестких и съемных дисков.
  - Системное резервное хранилище.
    Содержимое папки System Volume Information.
  - Все внешние устройства.
  - Все жесткие диски.
  - Все сетевые диски.
  Для этого вам нужно в скрипте onDemandScan для параметра "enabled" соответствующей области проверки установить значение True или False:
  
  defaultPreset = [ {"enabled": False, "path": "%personal%", "recursive": True, "type": ScanObjectType.Folder.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.Email.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.SystemMemory.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.StartupObjectsAndRunningProcesses.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.DiskBootSectors.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.SystemBackupStorage.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllRemovableDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllFixedDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllNetworkDrives.value}
  
  Пример
  
  python3 onDemandScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --recurive false --path 'C:\Program Files (x86)\Example Folder'
  ioCScan.py — поиск индикаторов компрометации
  
  Скрипт iocScan автоматически создает и запускает задачу Поиск IOC при обнаружении определенных событий KUMA. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.
  
  Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.
  
  Ограничения
  
  По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие.
  
  По умолчанию выбраны следующие журналы событий: журнал событий приложений, журнал системных событий и журнал событий безопасности.
  
  Аргументы
  
  Для настройки задачи Поиск IOC вам нужно задать следующие аргументы для скрипта:
  
  --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --iocZip – путь к ZIP-архиву с IOC-файлом в кодировке base64, по которым требуется выполнять поиск. Обязательный аргумент. Введите этот аргумент вручную.
  
  --isolateHost true|false – изоляция компьютера от сети при обнаружении индикатора компрометации для предотвращения распространения угрозы. Обязательный аргумент. Введите этот аргумент вручную.
  
  --quarantineObject true|false – удаление вредоносного объекта при обнаружении индикатора компрометации. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин. Обязательный аргумент. Введите этот аргумент вручную.
  
  --scanCriticalAreas true|false – запуск задачи Проверка важных областей при обнаружении индикатора компрометации. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы. Обязательный аргумент. Введите этот аргумент вручную.
  
  Пример
  
  python3 iocScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --iocZip './ioc.zip' --isolateHost true --scanCriticalAreas true --quarantineObject true
  
  quarantineFile.py — помещение файла на карантин
  Скрипт quarantineFile автоматически создает и запускает задачу [[QsTqyVYz]]Помещение файла на карантин[[]] при получении в KUMA определенных событий. Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства.
  
  Ограничения
  
  Задача [[QsTqyVYz]]Помещение файла на карантин[[]] имеет следующие ограничения:
  1. Размер файла не должен превышать 100 МБ.
  2. Критически важные системные объекты (англ. System Critical Object, SCO) поместить на карантин невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
  Аргументы
  
  Для настройки задачи [[QsTqyVYz]]Помещение файла на карантин[[]] вам нужно задать следующие аргументы для скрипта:
  
  --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
  
  --sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
  
  Примеры
  
  python3 quarantineFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt'
  
  python3 quarantineFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --sha256hash 123456789101234567890123456789012
  deleteFile.py — удаление файла
  
  Скрипт deleteFile автоматически создает и запускает задачу Удаление файла при обнаружении определенных событий KUMA. Например, вы можете удаленно удалить файл при реагировании на угрозы.
  
  Ограничения
  
  Критически важные системные объекты (англ. System Critical Object, SCO) удалить невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
  
  Аргументы
  
  Для настройки задачи Удаление файла вам нужно задать следующие аргументы для скрипта:
  
  --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --searchInSubfolders true|false – поиск файла в подпапках. Обязательный аргумент. Введите этот аргумент вручную.
  
  --path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
  
  --sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
  
  Примеры
  
  python3 deleteFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt' --searchInFolders false
  
  python3 deleteFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path '1' --searchInFolders false --sha256hash 123456789101234567890123456789012
  
  getFile.py — получение файла
  
  Скрипт getFile автоматически создает и запускает задачу Получение файла при получении в KUMA определенных событий. Например, вы можете настроить получение файла журнала событий, который создает стороннее приложение. В результате выполнения задачи файл будет сохранен в карантине. Карантин – это специальное локальное хранилище на компьютере. Вы можете загрузить этот файл на компьютер из карантина в Web Console ([[NWC]]Операции[[]] → [[NWC]]Хранилища[[]] → [[NWC]]Карантин[[]]). При этом на компьютере пользователя файл остается в исходной папке.
  
  Ограничение
  
  Размер файла не должен превышать 100 МБ.
  
  Аргументы
  
  Для настройки задачи Получение файла вам нужно задать следующие аргументы для скрипта:
  
  --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
  
  --sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
  
  Примеры
  
  python3 getFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt'
  
  python3 getFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --md5hash 123456789101234567890123456789012
  
  isolateHost.py — сетевая изоляция компьютера
  Скрипт isolateHost автоматически изолирует компьютер из сети при обнаружении определенных событий KUMA.
  
  После включения Сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на компьютере, кроме следующих соединений:
  - соединения, указанные в исключениях из Сетевой изоляции;
  - соединения, инициированные службами Kaspersky Endpoint Security;
  - соединения, инициированные Агентом администрирования Kaspersky Security Center;
  - соединения с SVM и Сервером интеграции, если приложение используется в режиме Легкого агента.
  Аргументы
  
  Для настройки Сетевой изоляции вам нужно задать следующие аргументы для скрипта:
  
  --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --action – режим Сетевой изоляции. Обязательный аргумент. Введите этот аргумент вручную. Возможные значения:
  - 1 – изолировать компьютер от сети;
  - 0 – выключить Сетевую изоляцию.
  Пример
  
  python3 isolateHost.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --action 1
  preventExecution.py — запрет запуска объектов
  Скрипт preventExecution автоматически запрещает запуск объектов при обнаружении определенных событий KUMA. Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск приложений, использование которых считаете небезопасным. В результате распространение угрозы может быть остановлено. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.
  
  Kaspersky Endpoint Security контролирует создание новых правил запрета запуска и игнорирует повторяющиеся правила. То есть, если запуск объекта уже запрещен, то приложение не будет создавать новое правило. При этом все параметры правила должны совпадать (путь до файла и хеш файла), и правило должно быть включено.
  
  Ограничения
  
  Запрет запуска объектов имеет следующие ограничения:
  1. Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Приложение не будет блокировать исполнение или открытие этих файлов.
  2. Невозможно запретить запуск критически важных системных объектов (англ. System Critical Object, SCO). К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
  3. Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.
  Аргументы
  
  Для настройки Запрета запуска объектов вам нужно задать следующие аргументы для скрипта:
  
  --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --hash – MD5-хеш файла. Обязательный аргумент.Скрипт получает этот аргумент из события.
  
  --path – полный путь к файлу или путь к файлу, если вы введете хеш файла. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  Пример
  
  python3 preventExecution.py --targetHost '422db51e-9383-46d4-b75d-f4d1d20fff2c' --path 'C:\test5\run10.exe' --hash '8806b7f358884a049675b42c5f75ba10'
  startProcess.py — запуск процесса
  
  Скрипт startProcess автоматически создает и запускает задачу [[GFKn3ddr]]Запуск процесса[[]] при обнаружении определенных событий KUMA. Например, вы можете удаленно запускать утилиту, которая создает файл с конфигурацией компьютера. Далее с помощью задачи Получение файла, вы можете получить созданный файл в Kaspersky Security Center Web Console.
  
  Аргументы
  
  Для настройки задачи [[GFKn3ddr]]Запуск процесса[[]] вам нужно задать следующие аргументы для скрипта:
  
  --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --executablePath – путь к файлу. Обязательный аргумент. Вы можете передать этот аргумент из события или ввести значение вручную.
  
  --arguments – дополнительные аргументы для запуска процесса. Введите эти аргументы вручную.
  
  --workingFolder – путь к рабочей папке процесса. Введите этот аргумент вручную.
  
  Пример
  
  python3 startProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --executablePath 'c://a/a.exe'
  
  terminateProcess.py — завершение процесса
  
  Скрипт terminateProcess автоматически создает и запускает задачу Завершение процесса при обнаружении определенных событий KUMA. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи Запуск процесса.
  
  Если вы хотите запретить запуск файла, вы можете настроить компонент Запрет запуска объектов. Вы можете запретить запуск исполняемых файлов, скриптов, файлов офисного формата.
  
  Ограничения
  
  Завершить процессы критически важных системных объектов (англ. System Critical Object, SCO) невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
  
  Аргументы
  
  Для настройки задачи Завершение процесса вам нужно задать следующие аргументы для скрипта:
  
  --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --caseSensitive true|false – включение режима учета регистра при поиске файла. Обязательный аргумент. Введите этот аргумент вручную.
  
  --path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
  
  --md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
  
  --sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
  
  Примеры
  
  python3 terminateProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\file.exe' --caseSensitive true
  
  python3 terminateProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --caseSensitive false --md5hash 123456789101234567890123456789012
7. В поле Обработчики укажите количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
8. В поле Описание укажите произвольное описание правила реагирования.
9. В поле Фильтр определите условия, при соответствии которым события будут обрабатываться с применением правила реагирования.
Сохраните параметры и установите сервис коррелятора на сервере или перезапустите действующий коррелятор, чтобы применить параметры.

В результате при получении корреляционного события с определенными полями срабатывает правило реагирования в KUMA, выполняются EDR-действия и создается задача в Kaspersky Security Center. Записи можно посмотреть в журналах Kaspersky Security Center и Kaspersky Endpoint Security.

Создание шаблона уведомления

Шаблоны уведомлений

Шаблоны уведомлений используются для создания уведомлений по электронной почте о событиях следующих типов:

Созданный алерт.
Завершение генерации отчета.
Завершение асинхронной задачи (шаблон с таким типом может быть только один).
Нарушение политики мониторинга.
Перемещение пользователя в другую группу KASAP.

Вы можете создавать шаблоны всех типов событий для Общего тенанта. Для всех остальных тенантов доступны только типы событий Созданный алерт и Нарушение политики мониторинга.

Предустановленные шаблоны уведомлений

В поставку KUMA включены перечисленные в таблице ниже шаблоны уведомлений.

Предустановленные шаблоны уведомлений

Название шаблона	Описание
[OOTB] New alert in KUMA	Базовый шаблон уведомлений.

В этом разделе

Изменение шаблона уведомления

Удаление шаблона уведомления

Синтаксис шаблонов уведомлений

Создание шаблона уведомления

Чтобы создать шаблон уведомления:

Откройте раздел веб-интерфейса KUMA Ресурсы → Шаблоны уведомлений.
В правой части раздела Ресурсы отобразится таблица Шаблоны уведомлений.

Нажмите на кнопку Добавить и в открывшемся окне задайте параметры, как описано в таблице ниже.

Параметры шаблонов уведомлений

Параметр	Описание
Название	Обязательный параметр. Уникальное имя шаблона. Должно содержать от 1 до 128 символов в кодировке Unicode. Имя не должно начинаться и заканчиваться пробелом и не должно содержать управляющие последовательности (перевод строки и т.п.).
Тенант	Обязательный параметр. Название тенанта, которому принадлежит ресурс. Вы можете создавать шаблоны всех типов событий для Общего тенанта. Для всех остальных тенантов доступны только типы Созданный алерт и Нарушение политики мониторинга.
Тип	Обязательный параметр. Тип события, для которого необходимо создать шаблон уведомления. Доступны следующие типы: Созданный алерт. Завершение генерации отчета. Завершение асинхронной задачи. Шаблон с таким типом может быть только один. Если шаблон с таким типом уже существует, этот тип будет недоступен для выбора при создании нового шаблона. Нарушение политики мониторинга. Перемещение пользователя в другую группу KASAP.
Тема	Обязательный параметр. Тема электронного письма с уведомлением. Максимальная длина поля – 140 символов в кодировке Unicode. Текст необходимо указывать на русском или английском языке в зависимости от локализации, выбранной в профиле пользователя. Для каждого типа событий при создании шаблона доступен стандартный текст темы. Поле Тема недоступно для редактирования или выбора стандартного текста, пока не выбран тип шаблона в поле Тип. В теме письма можно обращаться к полям объектов в зависимости от выбранного типа события. Пример (тема в шаблоне уведомления для события типа Созданный алерт): `Новый алерт в KUMA: {{.CorrelationRuleName}}`. Вместо `{{.CorrelationRuleName}}` в теме письма с уведомлением будет подставлено название правила корреляции, содержащееся в поле алерта `CorrelationRuleName`.
Шаблон	Обязательный параметр. Тело электронного письма с уведомлением. Текст необходимо указывать на русском или английском языке в зависимости от локализации, выбранной в профиле пользователя. Шаблон поддерживает синтаксис, с помощью которого уведомление можно динамически наполнить данными из указанных полей соответствующих объектов. Описание синтаксиса шаблонов уведомлений и список поддерживаемых полей вы можете найти в статье Синтаксис шаблонов уведомлений. Для каждого типа событий при создании шаблона доступен стандартный текст электронного письма. Для удобства текст письма можно открыть в отдельном окне, нажав на значок . При этом открывается окно Шаблон, в котором можно изменить текст письма с уведомлением. Сохранить изменения и закрыть окно можно с помощью кнопки OK.
По умолчанию	Необязательный параметр. Доступен для типа событий Завершение асинхронной задачи. Если флажок установлен, то создаваемый шаблон применяется вместо системного шаблона ко всем задачам, созданным после сохранения шаблона.
Теги	Необязательный параметр. Теги для создаваемого шаблона уведомления. В списке отображаются все доступные теги, созданные в тенанте ресурса и Общем тенанте. Вы может найти тег в списке, начав вводить его название в поле. Если тега, который вы ввели, не существует, вы можете нажать `Enter` или Добавить, чтобы создать его.
Описание	Необязательный параметр. Описание шаблона в виде произвольного текста. Максимальная длина до 4000 символов в кодировке Unicode.

Нажмите Сохранить.

Шаблон уведомления создан и отображается в таблице Шаблоны уведомлений.

Изменение шаблона уведомления

Чтобы изменить шаблон уведомления:

Откройте раздел веб-интерфейса KUMA Ресурсы → Шаблоны уведомлений.
В правой части раздела Ресурсы отобразится таблица Шаблоны уведомлений.
Откройте нужный шаблон нажатием на соответствующую строку в таблице, и в открывшемся окне измените параметры, перечисленные в таблице в статье Создание шаблона уведомления.
Нажмите Сохранить.

Шаблон уведомления изменен.

Удаление шаблона уведомления

Чтобы удалить шаблон уведомления:

Откройте раздел веб-интерфейса KUMA Ресурсы → Шаблоны уведомлений.
В правой части раздела Ресурсы отобразится таблица Шаблоны уведомлений.
Установите флажки рядом с шаблонами уведомлений, которые вы хотите удалить.
Если вы хотите удалить все существующие шаблоны, нажмите на флажок рядом со столбцом Название и выберите в раскрывающемся списке Выбрать все.

Если вы хотите удалить все шаблоны, отображающиеся на странице, нажмите на флажок рядом со столбцом Название и выберите в раскрывающемся списке Выбрать все на странице.

Необходимо установить хотя бы один флажок.
Нажмите на кнопку Удалить.
Откроется окно подтверждения. Если среди удаляемых шаблонов есть шаблоны, связанные с других другими ресурсами или сервисами, они будут показаны в окне подтверждения с примечанием, что эти шаблоны не будут удалены.
Нажмите на кнопку Удалить, чтобы подтвердить удаление.

Шаблоны, для которых возможно безопасное удаление, будут удалены.

Синтаксис шаблонов уведомлений

В шаблонах уведомлений используется синтаксис Go templates. С помощью этого синтаксиса можно динамически наполнять содержимым уведомления: загружать данные из полей соответствующих объектов, вставлять ссылки или преобразовывать даты в нужный формат. Синтаксис шаблонов можно использовать как в теме письма, так и в теле сообщения. В этой статье дается краткая информация о синтаксисе, а также перечислены поля, которые можно использовать для тех или иных типов событий, и дополнительные функции, применяемые к этим полям. Подробнее про синтаксис вы можете прочитать в официальной документации языка Go.

В шаблоне можно обращаться к полям объектов в зависимости от выбранного типа событий. Поля соответствующих объектов могут содержать простые значения, такие как строка или число:

{{ .CorrelationRuleName }}

В письме будет отображаться название алерта, то есть содержимое поля CorrelationRuleName модели данных алерта.

Некоторые поля могут содержать содержат массивы данных, например поля алерта с относящимися к нему событиями, активами, учетными записями. К таким вложенным объектам можно обращаться с помощью функции range, которая последовательно обращается к полям 50 первых вложенных объектов. При обращении с помощью функции range к полю, в котором нет массива данных, возвращается ошибка. Пример:

{{ range .Assets }}

Устройство: {{ .DisplayName }}, дата создания: {{ .CreatedAt }}

{{ end }}

В письме будут отображаться значения полей DeviceHostName и CreatedAt из 50 связанных с алертом активов:

Устройство: <значение поля DisplayName из актива 1>, дата создания: <значение поля CreatedAt из актива 1>

Устройство: <значение поля DisplayName из актива 2>, дата создания: <значение поля CreatedAt из актива 2>

...

// Всего 50 строк

С помощью функции limit можно ограничить количество объектов, возвращаемых функцией range:

{{ range (limit .Assets 5) }}

<strong>Устройство</strong>: {{ .DisplayName }},

<strong>Дата создания</strong>: {{ .CreatedAt }}

{{ end }}

В письме будут отображаться значения полей DisplayName и CreatedAt из 5 связанных с алертом активов, слова "Устройства" и "Дата создания" выделены HTML-тегами <strong>:

<strong>Устройство</strong>: <значение поля DeviceHostName из актива 1>,

<strong>Дата создания</strong>: <значение поля CreatedAt из актива 1>

<strong>Устройство</strong>: <значение поля DeviceHostName из актива N>,

<strong>Дата создания</strong>: <значение поля CreatedAt из актива N>

...

// Всего 10 строк

Вложенные объекты могут иметь свои вложенные объекты. К ним можно обратиться с помощью вложенных функций range:

{{ range (limit .Events 5) }}

{{ range (limit .Event.BaseEvents 10) }}

Идентификатор сервиса: {{ .ServiceID }}

{{ end }}

В письме будет отображаться по десять идентификаторов сервисов (поле ServiceID) из базовых событий, относящихся к пяти корреляционным событиям алерта (всего 50 строк). Обратите внимание, что обращение к событиям происходит через вложенную структуру EventWrapper, которая находится в алерте в поле Events. События доступны в поле Event этой структуры, что отражено в примере выше. Таким образом, если поле A содержит вложенную структуру [B] и в структуре [B] есть поле C, которое является строкой или числом, то чтобы обратиться к полю C, необходимо указать путь {{ A.C }}.

Некоторые поля объектов содержат вложенные словари в формате "ключ – значение" (например, поле событий Extra). К ним можно обратиться с помощью функции range с переданными ей переменными: range $placeholder1, $placeholder2 := .FieldName. Значения переменных затем можно вызывать, указывая из названия. Пример:

{{ range (limit .Events 3) }}

{{ range (limit .Event.BaseEvents 5) }}

Список полей в поле события Extra: {{ range $name, $value := .Extra }} {{ $name }} - {{ $value }} <br> {{ end }}

{{ end }}

В письме через HTML-тег <br> будут отображаться пары "ключ – значение" из полей Extra базовых событий, принадлежащих корреляционным событиям. Вызываются данные из пяти базовых событий из каждого из трех корреляционных событий.

В шаблонах уведомлений можно использовать HTML-теги, выстраивая их в сложные структуры. Пример таблицы для полей корреляционного события:

<style type="text/css">

TD, TH {

padding: 3px;

border: 1px solid black;

}

</style>

<table>

<thead>

<tr>

<th>Название сервиса</th>

<th>Название корреляционного правила</th>

<th>Версия устройства</th>

</tr>

</thead>

<tbody>

{{ range .Events }}

<tr>

<td>{{ .Event.ServiceName }}</td>

<td>{{ .Event.CorrelationRuleName }}</td>

<td>{{ .Event.DeviceVersion }}</td>

</tr>

{{ end }}

</tbody>

</table>

С помощью функции link_alert в письмо с уведомлением можно вставить HTML-ссылку на алерт:

{{link_alert}}

В письме будет отображаться ссылка на окно алерта.

Шаблоны также поддерживают более сложные конструкции, такие как объявление локальных переменных, использование операторов сравнения и управляющих структур. Ниже приведен пример, как можно из связанных с алертом данных извлечь сведения о наивысшей категории активов и поместить ее в уведомления:

{{ $criticalCategoryName := "" }}

{{ $maxCategoryWeight := 0 }}

{{ range .Assets }}

{{ range .CategoryModels }}

{{ if gt .Weight $maxCategoryWeight }}

{{ $maxCategoryWeight = .Weight }}

{{ $criticalCategoryName = .Name }}

{{ end }}

{{ if gt $maxCategoryWeight 1 }}

Наивысшая категория активов: {{ $criticalCategoryName }}

{{ end }}

Поля объектов, поддерживаемые в шаблонах

В таблице ниже перечислены поля, к которым можно обращаться из шаблонов в зависимости от типа события.

Поддерживаемые поля объектов

Тип	Доступные поля
Созданный алерт	Поддерживается обращение ко всем полям модели данных алерта, включая вложенные массивы и структуры.
Завершение генерации отчета	`{{ .Tenants }}` – тенанты, по которым построен отчет. `{{ .Name }}` – название отчета. `{{ .StartTime }}` – начало периода, за который строится отчет, в формате 2006-01-02 15:04:05 MSK. `{{ .FinishTime }}` – окончание периода, за который строится отчет, в формате 2006-01-02 15:04:05 MSK. `{{ .PreviewLink }}` – ссылка для просмотра отчета. `{{ .DownloadLink }}` – ссылка для скачивания отчета. Пример добавления ссылок в шаблон уведомления о генерации отчета: Вы можете `<a href="{{ .PreviewLink }}" target="_blank">`просмотреть`</a>` или `<a href="{{ .DownloadLink }}" target="_blank">`скачать`</a>` отчет.
Завершение асинхронной задачи	`{{ .Tenants }}` – тенант, в котором запущена задача. `{{ .TaskKind }}` – название задачи. `{{ .TaskCreator }}` – имя пользователя, который создал задачу (логин). `{{ .StartTime }}` – время начала выполнения задачи в формате 2006-01-02 15:04:05 MSK. `{{ .FinishTime }}` – время окончания выполнения задачи в формате 2006-01-02 15:04:05 MSK. `{{ .TaskStatus}}` – статус выполнения задачи.
Нарушение политики мониторинга	`{{ .SourceTenantName }}` – тенант источника событий. `{{ .SourceDisplayName }}` – имя источника. `{{ .Value }}` – значение, вышедшее за границы политики мониторинга на момент создания алерта. `{{ .WebLink }}` – ссылка на веб-интерфейс KUMA. `{{ .AlertActiveAt }}` – время, в которое был активен алерт. `{{ .PolicyName }}` – название политики мониторинга. `{{ .PolicyTenantName }}` – тенант политики мониторинга. `{{ .PolicyLowerEventBound }}` – нижний порог. `{{ .PolicyUpperEventBound }}` – верхний порог. `{{ .PolicyKind }}` – тип политики. `{{ .PolicyInterval }}` – интервал периода подсчета. `{{ .DeviceProduct }}` – устройство источника. `{{ .DeviceHostName }}` – имя хоста источника. `{{ .DeviceAddress }}` – адрес источника. `{{ .DeviceProcessName }}` – название процесса источника.
Перемещение пользователя в другую группу KASAP	`{{ .UserEmail }}` – отображаемое имя пользователя из Active Directory. `{{ .PreviousGroup}}` – группа обучения KASAP, в которой пользователь состоял на момент открытия его карточки из инцидента или алерта. `{{ .CurrentGroup}}` – группа обучения KASAP, в которую пользователь был перемещен из карточки пользователя. `{{ .WebLink }}` – ссылка на веб-интерфейс KUMA.

Функции в шаблонах уведомлений

В шаблонах доступны функции, перечисленные в таблице ниже.

Функции в шаблонах

Функция	Описание
`date`	Принимает первым параметром время в миллисекундах (unix time), вторым параметром можно передать формат времени по стандартам RFC. Часовой пояс изменить невозможно. Пример вызова: `{{ date .FirstSeen "02 Jan 06 15:04" }}` Результат вызова: 18 Nov 2022 13:46 Примеры форматов дат, поддерживаемые функцией: `"02 Jan 06 15:04 MST"` `"02 Jan 06 15:04 -0700"` `"Monday, 02-Jan-06 15:04:05 MST"` `"Mon, 02 Jan 2006 15:04:05 MST"` `"Mon, 02 Jan 2006 15:04:05 -0700"` `"2006-01-02T15:04:05Z07:00"`
`range`	Позволяет перебирать массивы или наборы пар "ключ – значение", последовательно обращаясь к полям 50 первых элементов.
`limit`	Функция вызывается внутри функции `range` для ограничения списка данных. Обрабатывает списки, которые не имеют ключей, принимает любой список данных первым параметром и обрезает список по второму значению. Например, в функцию можно передавать поля алерта `.Events`, `.Assets`, `.Accounts`, `.Actions`. Пример вызова: `{{ range (limit .Assets 5) }}` `<strong>Устройство</strong>: {{ .DisplayName }},` `<strong>Дата создания</strong>: {{ .CreatedAt }}` `{{ end }}`
`link_alert`	Формирует ссылку на алерт с URL, указанным в параметрах подключения к SMTP-серверу в качестве псевдонима сервера Ядра KUMA или с реальным URL сервиса Ядра KUMA, если псевдоним не задан. Пример вызова: `Подробнее об алерте можно узнать в веб-интерфейсе KUMA: {{link_alert}}.`
`link_task`	Формирует ссылку на задачу в KUMA. Пример вызова: `Задача "{{ .TaskKind }}" создана {{ .TaskCreator }} в {{ .StartTime }} и завершена в {{ .FinishTime }} со статусом "{{ .TaskStatus }}".` `Подробнее о задачах можно узнать в веб-интерфейсе KUMA: {{ link_task }}.`
`link`	Принимает вид ссылки, доступной для перехода. Пример вызова: `{{ link "https://support.kaspersky.com/KUMA/2.1/ru-RU/233508.htm" }}`

Просмотр параметров коннектора

Коннекторы

Коннекторы используются для установления соединений между сервисами KUMA, а также для активного и пассивного получения событий.

Вы можете указать параметры коннекторов на вкладках Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа коннектора.

Существуют следующие типы коннекторов:

internal – используются для приема данных от сервисов KUMA по протоколу internal.
tcp – используются для пассивного получения событий по протоколу TCP при работе с агентами Windows и Linux.
udp – используются для пассивного получения событий по протоколу UDP при работе с агентами Windows и Linux.
netflow – используются для пассивного получения событий в формате NetFlow.
sflow – используются для пассивного получения событий в формате sFlow. Для sFlow поддерживаются только структуры, описанные в sFlow version 5.
nats-jetstream – используются для взаимодействия с брокером сообщений NATS при работе с агентами Windows и Linux.
kafka – используются для коммуникации с шиной данных Apache Kafka при работе с агентами Windows и Linux.
http – используются для получения событий по протоколу HTTP при работе с агентами Windows и Linux.
sql – используются для выборки данных из Систем Управления Базами Данных (СУБД). KUMA поддерживает работу с несколькими типами баз данных. При создании коннектора с типом sql вам нужно указать значения для общих параметров коннектора и отдельных параметров подключения к базе данных.
Программа поддерживает работу со следующими типами баз данных SQL:
- SQLite.
- MariaDB 10.5 и выше.
- MsSQL.
- MySQL 5.7 и выше.
- PostgreSQL.
- Cockroach.
- Oracle.
- Firebird.
file – используются для получения данных из текстовых файлов при работе с агентами Windows и Linux. Одна строка текстового файла считается одним событием. В качестве разделителя строк используется \n.
1c-log – используются для получения данных из технологических журналов программы 1С при работе с агентами Linux. В качестве разделителя строк используется \n. Из многострочной записи о событии коннектор принимает только первую строку.
1c-xml – используются для получения данных из журналов регистрации программы 1С при работе с агентами Linux. При обработке коннектором многострочные события преобразовываются в однострочные.
diode – используются для однонаправленной передачи данных в промышленных ICS-сетях с помощью диода данных.
ftp – используются для получения данных по протоколу File Transfer Protocol при работе с агентами Windows и Linux.
nfs – используются для получения данных по протоколу Network File System при работе с агентами Windows и Linux.
wmi – используются для получения данных с помощью Windows Management Instrumentation при работе с агентами Windows.
wec – используются для получения данных с помощью Windows Event Forwarding (WEF) и Windows Event Collector (WEC) или локальных журналов ОС хоста под управлением Windows при работе с агентами Windows.
etw – используются для получения расширенных журналов DNS-серверов.
snmp – используются для получения данных с помощью Simple Network Management Protocol при работе с агентами Windows и Linux. Для обработки событий, полученных по протоколу SNMP, вам нужно использовать нормализатор с типом json. Поддерживаемые версии протокола SNMP:
- snmpV1;
- snmpV2;
- snmpV3.
snmp-trap – используются для пассивного приема событий с помощью ловушек SNMP (англ. SNMP traps) при работе с агентами Windows и Linux. В коннекторе события snmp-trap принимаются и подготавливаются к нормализации путем сопоставления идентификаторов SNMP-объектов с временными ключами. Затем сообщение необходимо передать в JSON-нормализатор, где временные ключи будут сопоставлены с полями KUMA и будет создано событие. Для обработки событий, полученных по SNMP, вам нужно использовать нормализатор с типом json. Поддерживаемые версии протокола SNMP:
- snmpV1;
- snmpV2.
kata/edr – используются для получения данных KEDR по API.
vmware – используются для получения данных VMware vCenter по API.
elastic – используются для получения данных Elasticsearch. Поддерживается работа с Elasticsearch версии 7.0.0.
office365 – используются для получения данных Microsoft 365 (Office 365) по API.

Некоторые типы коннекторов (например, tcp, sql, wmi, wec и etw) поддерживают шифрование с использованием протокола TLS. KUMA поддерживает протокол TLS версии 1.2 или 1.3. При включении режима TLS для этих коннекторов подключение осуществляется по следующему алгоритму:

Если KUMA используется в качестве клиента:
1. KUMA отправляет запрос на соединение с сервером с максимальной поддерживаемой версией протокола TLS 1.3 ClientHello, а также список поддерживаемых криптонаборов.
2. Сервер отвечает на запрос выбранной версией протокола TLS и криптонабора.
3. В зависимости от версии протокола TLS в ответе сервера:
  - Если сервер отвечает на запрос, используя TLS 1.3 или 1.2, KUMA установит соединение с сервером.
  - Если сервер отвечает на запрос, используя TLS 1.1, KUMA закроет соединение с сервером.
Если KUMA используется в качестве сервера:
1. Клиент отправляет запрос на соединение с KUMA с максимальной поддерживаемой версией протокола TLS, а также список поддерживаемых криптонаборов.
2. В зависимоcти от версии протокола TLS в запросе клиента:
  - Если в запросе клиента используется протокол TLS 1.1 ClientHello, KUMA закроет соединение.
  - Если в запросе клиента используется протокол TLS 1.2 или 1.3, KUMA ответит на запрос выбранной версией протокола TLS и криптонабора.

В этом разделе

Добавление коннектора

Параметры коннекторов

Предустановленные коннекторы

Просмотр параметров коннектора

Чтобы просмотреть параметры коннектора:

В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
В структуре папок выберите папку, в которой располагается нужный вам коннектор.
Выберите коннектор, параметры которого вы хотите просмотреть.

Параметры коннекторов отображаются на двух вкладках: Основные параметры и Дополнительные параметры. Подробное описание параметров каждого коннектора см. в разделе Параметры коннекторов.

Добавление коннектора

Вы можете включить отображение непечатаемых символов для всех полей ввода, кроме поля Описание.

Чтобы добавить коннектор:

В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
В структуре папок выберите папку, в которой должен располагаться коннектор.
Корневые папки соответствуют тенантам. Для того, чтобы коннектор был доступен определенному тенанту, его следует создать в папке этого тенанта.

Если в дереве папок отсутствует требуемая папка, вам нужно создать ее.

По умолчанию добавляемые коннекторы создаются в папке Общий.
Нажмите на кнопку Добавить коннектор.
Укажите параметры для выбранного типа коннектора.
Параметры, которые требуется указать для каждого типа коннектора, приведены в разделе Параметры коннекторов.
Нажмите на кнопку Сохранить.

Коннектор, тип nats-jetstream

Параметры коннекторов

Этот раздел содержит описание параметров всех поддерживаемых KUMA типов коннекторов.

В этом разделе

Коннектор, тип internal

Коннектор, тип tcp

Коннектор, тип udp

Коннектор, тип netflow

Коннектор, тип sflow

Коннектор, тип 1c-log

Коннектор, тип 1c-xml

Коннектор, тип snmp-trap

Коннектор, тип kata/edr

Коннектор, тип vmware

Коннектор, тип elastic

Коннектор, тип office365

Коннектор, тип internal

Коннекторы с типом internal используются для приема данных от сервисов KUMA по протоколу internal. Например, такой коннектор должен быть использован для приема следующих данных:

Внутренние данные, такие как маршруты событий.
Файловые атрибуты. Если при создании коллектора на шаге Транспорт мастера установки вы указали коннектор с типом file, 1c-xml или 1c-log, на шаге Парсинг событий в таблице Сопоставление вы можете передать в поле события KUMA название обрабатываемого коллектором файла или путь к файлу. Для этого в столбце Исходные данные укажите одно из следующих значений:
- $kuma_fileSourceName – передать в поле события KUMA название обрабатываемого коллектором файла.
- $kuma_fileSourcePath – передать в поле события KUMA путь к обрабатываемому коллектором файлу.
Когда вы используете коннектор с типом file, 1c-xml или 1c-log, новые переменные в нормализаторе будут работать только с точками назначения с типом internal.
События в маршрутизатор событий. Маршрутизатор событий может принимать события только по протоколу internal, поэтому при отправке событий в маршрутизатор событий вы можете использовать только точки назначения с типом internal.

Доступные параметры коннектора с типом internal описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – internal. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	URL-адрес и номер порта, который прослушивает коннектор. Вы можете ввести значение в одном из следующих форматов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `:<номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько значений и удалить значения. Для добавления значения нажмите на кнопку + Добавить. Для удаления значения нажмите рядом с ним на значок удаления . Обязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Коннектор, тип tcp

Коннекторы с типом tcp используются для пассивного получения событий по протоколу TCP при работе с агентами Windows и Linux. Доступные параметры коннектора с типом tcp описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – tcp. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Вы можете ввести URL-адрес в одном из следующих форматов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес>:<номер порта>`; `:<номер порта>`. Обязательный параметр.
Auditd	Переключатель, включающий механизм auditd, который группирует полученные от коннектора строки событий auditd в одно событие auditd. Если вы включили этот переключатель, вы не можете выбрать значение в раскрывающемся списке Разделитель, так как для механизма auditd автоматически выбирается значение \n. Если вы включили этот переключатель в параметрах коннектора агента, вам нужно выбрать значение \n в раскрывающемся списке Разделитель в параметрах коннектора коллектора, в который агент отправляет события. Максимальный размер сгруппированного события auditd составляет примерно 4 174 304 символов. KUMA классифицирует события Auditd согласно алгоритму. Например, для обработки получены следующие записи: `type=LOGIN msg=audit(1712820601.957:21458): pid=4987 uid=0 subj=0:63:0:0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=2348 res=1` `type=SYSCALL msg=audit(1712820601.957:21458): arch=c000003e syscall=1 success=yes exit=1 a0=7 a1=7ffc9a07ba50 a2=1 a3=0 items=0 ppid=429 pid=4987 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=2348 comm="cron" exe="/usr/sbin/cron" subj=0:63:0:0 key=(null)` `type=PROCTITLE msg=audit(1712820601.957:21458): proctitle=2F7573722F7362696E2F43524F4E002D66` Согласно алгоритму в данном случае мы получим одно однострочное событие с типом LOGIN, так как тип LOGIN имеет код 1006 и он меньше AUDIT_FIRST_EVENT равного 1300, и одно многострочное событие с SYSCALL и PROCTITLE.
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
TTL буфера событий	Время жизни буфера для строк событий auditd в миллисекундах. Строки событий auditd попадают в коллектор KUMA и накапливаются в буфере. Это позволяет сгруппировать несколько строк событий auditd в одно событие auditd. Отсчет времени жизни буфера начинается при получении первой строки события auditd или при истечении предыдущего времени жизни буфера. Доступные значения: от 50 до 30 000. Значение по умолчанию: `2000`. Это поле доступно, если вы включили переключатель Auditd на вкладке Основные параметры. Строки событий auditd, накопленные в буфере, хранятся в оперативной памяти сервера. Мы рекомендуем с осторожностью увеличивать размер буфера, так как это может привести к использованию слишком большого количества оперативной памяти сервера коллектором KUMA. Вы можете просмотреть в метриках KUMA, сколько оперативной памяти сервера использует коллектор KUMA. Если вы хотите, чтобы время жизни буфера составляло более 30 000 миллисекунд, мы рекомендуем использовать другой транспорт доставки событий auditd. Например, вы можете использовать агента или предварительно накапливать события auditd в файле, после чего обрабатывать файл коллектором KUMA.
Заголовок транспорта	Регулярное выражение для событий auditd, по которому определяются строки событий auditd. Вы можете использовать значение по умолчанию или изменить его. Регулярное выражение должно содержать группы `record_type_name`, `record_type_value` и `event_sequence_number`. Если многострочное событие auditd содержит префикс, для первой строки события auditd префикс сохраняется, а для последующих – отбрасывается. Вы можете вернуться регулярному выражению для событий auditd по умолчанию, нажав на кнопку Установить значение по умолчанию.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates. Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в будущих версиях KUMA. Нестандартный PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша. Как создать PFX-секрет? Чтобы создать PFX-секрет: В поле Название введите название PFX-секрета. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата. Нажмите на кнопку Создать. PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет. Нестандартный PFX с аутентфикацией клиента – использовать шифрование TLS с PFX-секретом. В этом режиме выполняется аутентификация клиента по сертификату. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша. Как создать PFX-секрет? Чтобы создать PFX-секрет: В поле Название введите название PFX-секрета. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата. Нажмите на кнопку Создать. PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.

Коннектор, тип udp

Коннекторы с типом upd используются для пассивного получения событий по протоколу UDP при работе с агентами Windows и Linux. Доступные параметры коннектора с типом udp описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – udp. Обязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Вы можете ввести URL-адрес в одном из следующих форматов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес>:<номер порта>`; `:<номер порта>`. Обязательный параметр.
Auditd	Переключатель, включающий механизм auditd, который группирует полученные от коннектора строки событий auditd в одно событие auditd. Если вы включили этот переключатель, вы не можете выбрать значение в раскрывающемся списке Разделитель, так как для механизма auditd автоматически выбирается значение \n. Если вы включили этот переключатель в параметрах коннектора агента, вам нужно выбрать значение \n в раскрывающемся списке Разделитель в параметрах коннектора коллектора, в который агент отправляет события. Максимальный размер сгруппированного события auditd составляет примерно 4 174 304 символов. KUMA классифицирует события Auditd согласно алгоритму. Например, для обработки получены следующие записи: `type=LOGIN msg=audit(1712820601.957:21458): pid=4987 uid=0 subj=0:63:0:0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=2348 res=1` `type=SYSCALL msg=audit(1712820601.957:21458): arch=c000003e syscall=1 success=yes exit=1 a0=7 a1=7ffc9a07ba50 a2=1 a3=0 items=0 ppid=429 pid=4987 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=2348 comm="cron" exe="/usr/sbin/cron" subj=0:63:0:0 key=(null)` `type=PROCTITLE msg=audit(1712820601.957:21458): proctitle=2F7573722F7362696E2F43524F4E002D66` Согласно алгоритму в данном случае мы получим одно однострочное событие с типом LOGIN, так как тип LOGIN имеет код 1006 и он меньше AUDIT_FIRST_EVENT равного 1300, и одно многострочное событие с SYSCALL и PROCTITLE.
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Количество обработчиков	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
TTL буфера событий	Время жизни буфера для строк событий auditd в миллисекундах. Строки событий auditd попадают в коллектор KUMA и накапливаются в буфере. Это позволяет сгруппировать несколько строк событий auditd в одно событие auditd. Отсчет времени жизни буфера начинается при получении первой строки события auditd или при истечении предыдущего времени жизни буфера. Доступные значения: от 50 до 30 000. Значение по умолчанию: `2000`. Это поле доступно, если вы включили переключатель Auditd на вкладке Основные параметры. Строки событий auditd, накопленные в буфере, хранятся в оперативной памяти сервера. Мы рекомендуем с осторожностью увеличивать размер буфера, так как это может привести к использованию слишком большого количества оперативной памяти сервера коллектором KUMA. Вы можете просмотреть в метриках KUMA, сколько оперативной памяти сервера использует коллектор KUMA. Если вы хотите, чтобы время жизни буфера составляло более 30 000 миллисекунд, мы рекомендуем использовать другой транспорт доставки событий auditd. Например, вы можете использовать агента или предварительно накапливать события auditd в файле, после чего обрабатывать файл коллектором KUMA.
Заголовок транспорта	Регулярное выражение для событий auditd, по которому определяются строки событий auditd. Вы можете использовать значение по умолчанию или изменить его. Регулярное выражение должно содержать группы `record_type_name`, `record_type_value` и `event_sequence_number`. Если многострочное событие auditd содержит префикс, для первой строки события auditd префикс сохраняется, а для последующих – отбрасывается. Вы можете вернуться регулярному выражению для событий auditd по умолчанию, нажав на кнопку Установить значение по умолчанию.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.

Коннектор, тип netflow

Коннекторы с типом netflow используются для пассивного получения событий в формате NetFlow. Доступные параметры коннектора с типом netflow описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – netflow. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Количество обработчиков	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.

Коннектор, тип sflow

Коннекторы с типом sflow используются для пассивного получения событий в формате sFlow. Для sFlow поддерживаются только структуры, описанные в sFlow version 5. Доступные параметры коннектора с типом sflow описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – sflow. Обязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Вы можете ввести URL-адрес в одном из следующих форматов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес>:<номер порта>`; `:<номер порта>`. Обязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Количество обработчиков	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.

Коннектор, тип nats-jetstream

Коннекторы с типом nats-jetstream используются для взаимодействия с брокером сообщений NATS при работе с агентами Windows и Linux. Доступные параметры коннектора с типом nats-jetstream описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – nats-jetstream. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Авторизация	Тип авторизации при подключении к URL-адресу, указанному в поле URL: Выключена. Это значение выбрано по умолчанию. Обычная. При выборе этого значения в раскрывающемся списке Секрет укажите секрет, содержащий данные учетной записи пользователя для авторизации при подключении к точке назначения. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.
Тема	Тема сообщений NATS. Символы вводятся в кодировке Unicode. Обязательный параметр.
Идентификатор группы	Значение параметра `GroupID` для сообщений NATS. Максимальная длина значения: до 255 символов в кодировке Unicode. Значение по умолчанию: `default`.
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Количество обработчиков	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates. Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в будущих версиях KUMA. Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать сертификат, подписанный центром сертификации? Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL). Чтобы создать сертификат, подписанный центром сертификации: Создайте ключ, который будет использоваться центром сертификации, например: `openssl genrsa -out ca.key 2048` Создайте сертификат для созданного ключа, например: `openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt` Создайте приватный ключ и запрос на его подписание в центре сертификации, например: `openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr` Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную `subjectAltName` доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например: `openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt` Загрузите созданный сертификат `server.crt` в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate. Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку `x509: certificate signed by unknown authority`. Нестандартный PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать PFX-секрет? Чтобы создать PFX-секрет: В поле Название введите название PFX-секрета. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата. Нажмите на кнопку Создать. PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет. Режим Нестандартный PFX не отображается, если для параметра Авторизация выбрано значение Обычная.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.

Коннектор, тип kafka

Коннекторы с типом kafka используются для коммуникации с шиной данных Apache Kafka при работе с агентами Windows и Linux. Доступные параметры коннектора с типом kafka описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – kafka. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Авторизация	Тип авторизации при подключении к URL-адресу, указанному в поле URL: Выключена. Это значение выбрано по умолчанию. Обычная. При выборе этого значения в раскрывающемся списке Секрет укажите секрет, содержащий данные учетной записи пользователя для авторизации при подключении к точке назначения. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет. PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать PFX-сертификат из хранилища, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать PFX-секрет? Чтобы создать PFX-секрет: В поле Название введите название PFX-секрета. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата. Нажмите на кнопку Создать. PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.
Топик	Тема сообщений Kafka. Максимальная длина темы составляет до 255 символов. Недопустимо использование символов пробела и табуляции. Вы можете использовать следующие символы: a–z, A–Z, 0–9, ".", "_", "-". Обязательный параметр.
Идентификатор группы	Значение параметра `GroupID` для сообщений Kafka. Максимальная длина значения: до 255 символов. Вы можете использовать символы a–z, A–Z, 0–9, ".", "_", "-".
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Количество обработчиков	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates. Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в будущих версиях KUMA. Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать сертификат, подписанный центром сертификации? Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL). Чтобы создать сертификат, подписанный центром сертификации: Создайте ключ, который будет использоваться центром сертификации, например: `openssl genrsa -out ca.key 2048` Создайте сертификат для созданного ключа, например: `openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt` Создайте приватный ключ и запрос на его подписание в центре сертификации, например: `openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr` Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную `subjectAltName` доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например: `openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt` Загрузите созданный сертификат `server.crt` в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate. Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку `x509: certificate signed by unknown authority`.
Размер одного сообщения в запросе	Размер одного сообщения в запросе в байтах. Значение по умолчанию:16 МБ, применяется если значение не указано или указано 0. Значение не может быть больше 2147483647 байт.
Максимальное время ожидания одного сообщения	Время ожидания одного сообщения в секундах. Значение по умолчанию: 5 секунд, применяется если значение не указано или указано 0. Максимально допустимое значение= 2147483647.
Время ожидания подключения	Время ожидания установки соединения с брокером Kafka, сек. Максимально допустимое значение: 2147483647. По умолчанию 30 секунд.
Время ожидания чтения	Время ожидания операции чтения, сек. Максимально допустимое значение: 2147483647. По умолчанию 30 секунд.
Время ожидания записи	Время ожидания операции записи, сек Максимально допустимое значение: 2147483647. По умолчанию 30 секунд.
Интервал обновления состояния группы	Интервал обновления состояния группы, сек. Не может превышать время сессии. Рекомендуемое значение: 1/3 от времени сессии. Максимально допустимое значение: 2147483647. По умолчанию 30 секунд.
Время сессии	Время сессии, сек. Максимально допустимое значение: 2147483647. По умолчанию 30 секунд.
Максимальное время обработки одного сообщения	Максимальное время обработки одного сообщения одним потоком, миллисекунды. Максимально допустимое значение: 2147483647. По умолчанию 100 миллисекунд.
Включить автокоммит	По умолчанию включено.
Интервал автокоммита	Интервал автокоммита, сек. По умолчанию 1 секунда. Максимально допустимое значение:18446744073709551615. Допустимо указать любое положительное число.
PFX секрет	Секрет с типом pfx. Поле доступно для заполнения, если для параметра Авторизация выбрано значение PFX. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Обязательное поле.
Секрет	Секрет с типом credentials. Поле доступно для заполнения, если для параметра Авторизация выбрано значение Обычная. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Обязательное поле.

Коннектор, тип http

Коннекторы с типом http используются для получения событий по протоколу HTTP при работе с агентами Windows и Linux. Доступные параметры коннектора с типом http описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – http. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Вы можете ввести URL-адрес в одном из следующих форматов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес>:<номер порта>`; `:<номер порта>`. Обязательный параметр.
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

Режим TLS

Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:

Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
Включено – использовать шифрование TLS, но без верификации сертификатов.
С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в будущих версиях KUMA.
Нестандартный PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать.
Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша.

Как создать PFX-секрет?
Чтобы создать PFX-секрет:
1. В поле Название введите название PFX-секрета.
2. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом.
3. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата.
4. Нажмите на кнопку Создать.
PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.
Нестандартный PFX с аутентфикацией клиента – использовать шифрование TLS с PFX-секретом. В этом режиме выполняется аутентификация клиента по сертификату.
Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать.

Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша.

Как создать PFX-секрет?
Чтобы создать PFX-секрет:
1. В поле Название введите название PFX-секрета.
2. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом.
3. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата.
4. Нажмите на кнопку Создать.
PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.

Коннектор, тип sql

Коннекторы с типом sql используются для выборки данных из Систем Управления Базами Данных (СУБД). KUMA поддерживает работу с несколькими типами баз данных. При создании коннектора с типом sql вам нужно указать значения для общих параметров коннектора и отдельных параметров подключения к базе данных. Доступные параметры коннектора с типом sql описаны в таблицах ниже.

Программа поддерживает работу со следующими типами баз данных SQL:

SQLite.
MariaDB 10.5 и выше.
MsSQL.
MySQL 5.7 и выше.
PostgreSQL.
Cockroach.
Oracle.
Firebird.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – sql.

Обязательный параметр.

Теги

Теги для поиска ресурса.

Необязательный параметр.

Запрос по умолчанию

SQL-запрос, который выполняется при подключении к базе данных.

Обязательный параметр.

Переподключаться к БД каждый раз при отправке запроса

Переключатель, включающий переключение коннектора к базе данных при отправке запроса. По умолчанию этот переключатель выключен.

Интервал запросов, сек.

Интервал выполнения SQL-запросов в секундах. Значение по умолчанию: 10 секунд.

Соединение

Параметры подключения к базе данных:

Тип базы данных – тип базы данных для подключения. При выборе типа базы данных в поле URL отображается префикс, соответствующий протоколу взаимодействия. Например, для типа базы данных ClickHouse в поле URL отображается префикс clickhouse://.
Секрет отдельно – флажок, позволяющий просматривать информацию о подключении.
URL – URL-адрес подключения. Вы сможете просматривать информацию о подключении и вам не придется повторно создавать большое количество подключений при изменении пароля учетной записи, которую вы использовали для подключений.
При создании подключений, если информация о подключении задана в URL-адресе, могут неправильно обрабатываться строки с учетными данными, содержащими специальные символы. Если при создании подключения возникает ошибка, но вы уверены в том, что указали правильные значения параметров, укажите специальные символы в процентной кодировке.

Коды специальных символов

!

#

$

%

&

'

(

)

*

+

%21

%23

%24

%25

%26

%27

%28

%29

%2A

%2B

,

/

:

;

=

?

@

[

]

\

%2C

%2F

%3A

%3B

%3D

%3F

%40

%5B

%5D

%5C

Следующие специальные символы не поддерживаются в паролях доступа к базам SQL: пробел, [, ], :, /, #, %, \.

Если вы установили флажок Секрет отдельно, учетные данные задаются в секрете и кодируются автоматически. В этом случае кодирование специальных символов не требуется.

Если вы установили флажок Секрет отдельно, вы можете выбрать существующий URL-адрес или создать новый URL-адрес. Для создания нового URL-адреса выберите значение Создать.

Если вы хотите изменить параметры существующего URL-адреса, нажмите рядом с ним на значок карандаша .
Секрет – секрет urls, в котором хранится список URL-адресов для подключения к базе данных. Это поле отображается, если вы установили флажок Секрет отдельно.
Столбец идентификатора – название столбца, содержащего идентификатор для каждой строки таблицы.
Обязательный параметр.
Начальное значение идентификатора – значение в столбце идентификатора для определения строки, с которой требуется начать считывание данных из SQL-таблицы.
Запрос – дополнительный SQL-запрос, который выполняется вместо SQL-запроса по умолчанию.
Интервал запросов, сек – интервал выполнения SQL-запросов в секундах. Указанный интервал используется вместо интервала, указанного по умолчанию для коннектора. Значение по умолчанию: 10 секунд.

Вы можете добавить несколько подключений или удалить подключение. Для добавления подключения нажмите на кнопку + Добавить подключение. Для удаления подключения нажмите рядом с ним на значок удаления cross-black .

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

KUMA конвертирует ответы SQL в кодировку UTF-8. Вы можете настроить SQL-сервер на отправку ответов в кодировке UTF-8 или выбрать их кодировку на стороне KUMA.

В рамках одного коннектора вы можете создать подключение для нескольких поддерживаемых баз данных. Если коллектор с коннектором типа sql не удается запустить, вам нужно проверить, пуст ли state-файл /opt/kaspersky/kuma/collector/<идентификатор коллектора>/sql/state-<идентификатор файла>. Если state-файл пуст, вам нужно его удалить и перезапустить коллектор.

Чтобы создать подключение для нескольких баз данных SQL:

Нажмите на кнопку Добавить подключение.
Задайте значение для параметров URL, Столбец идентификатора, Начальное значение идентификатора, Запрос, Интервал запросов, сек.
Повторите шаги 1–2 для каждого требуемого подключения.

Поддерживаемые типы SQL и особенности их использования

Поддерживаются следующие типы SQL:

MSSQL.
Например:
- sqlserver://{user}:{password}@{server:port}/{instance_name}?database={database}
Мы рекомендуем использовать этот вариант URL.
- sqlserver://{user}:{password}@{server}?database={database}
В качестве плейсхолдера в SQL-запросе используются символы @p1.

Если вы хотите подключиться с доменными учетными данными, укажите имя учетной записи в формате <домен>%5C<пользователь>. Например: sqlserver://domain%5Cuser:password@ksc.example.com:1433/SQLEXPRESS?database=KAV.
MySQL/MariaDB.
Например:

mysql://{user}:{password}@tcp({server}:{port})/{database}

В качестве плейсхолдера в SQL-запросе используются символ ?.
PostgreSQL.
Например: postgres://{user}:{password}@{server}/{database}?sslmode=disable

В качестве плейсхолдера в SQL-запросе используются символы $1.
CockroachDB.
Например:

postgres://{user}:{password}@{server}:{port}/{database}?sslmode=disable

В качестве плейсхолдера в SQL-запросе используются символы $1.
SQLite3.
Например:

sqlite3://file:{file_path}

В качестве плейсхолдера в SQL-запросе используется знак вопроса: ?.

При обращении к SQLite3, если начальное значение идентификатора используется в формате datetime, вам нужно добавить преобразование даты с помощью функции sqlite datetime в SQL-запрос. Например:

select * from connections where datetime(login_time) > datetime(?, 'utc') order by login_time

В этом примере connections – это таблица SQLite, а значение переменной ? берется из поля Начальное значение идентификатора, и его требуется указывать в формате {<дата>}T{<время>}Z, например 2021-01-01T00:10:00Z).
Oracle DB.
Пример URL секрета с драйвером oracle:

oracle://{user}:{password}@{server}:{port}/{service_name}

oracle://{user}:{password}@{server}:{port}/?SID={SID_VALUE}

Если время выполнения запроса превышает 30 секунд. драйвер oracle прерывает SQL-запрос и в журнале коллектора появится ошибка user requested cancel of current operation. Для увеличения времени выполнения SQL-запроса укажите в строке подключения значение параметра timeout в секундах, например:

oracle://{user}:{password}@{server}:{port}/{service_name}?timeout=300

В качестве плейсхолдера в SQL-запросе используется переменная :val.

При обращении к Oracle DB, если начальное значение идентификатора используется в формате datetime, требуется учитывать тип поля в базе данных и при необходимости добавить дополнительные преобразования строки со временем в SQL-запросе для обеспечения правильной работы SQL-коннектора. Например, если в базе создана таблица Connections, в которой есть поле login_time, возможны следующие преобразования:
- Если у поля login_time тип TIMESTAMP, в зависимости от параметров базы данных в поле login_time может быть указано значение в формате YYYY-MM-DD HH24:MI:SS, например 2021-01-01 00:00:00. В этом случае вам нужно указать значение 2021-01-01T00:00:00Z в поле Начальное значение идентификатора, а в SQL-запросе произвести преобразование с помощью функции to_timestamp, например:
  select * from connections where login_time > to_timestamp(:val, 'YYYY-MM-DD"T"HH24:MI:SS"Z"')
- Если у поля login_time тип TIMESTAMP WITH TIME ZONE, в зависимости от параметров базы данных в поле login_time может быть указано значение в формате YYYY-MM-DD"T"HH24:MI:SSTZH:TZM, например 2021-01-01T00:00:00+03:00. В этом случае вам нужно указать значение 2021-01-01T00:00:00+03:00 в поле Начальное значение идентификатора, а в SQL-запросе произвести преобразование с помощью функции to_timestamp_tz, например:
  select * from connections_tz where login_time > to_timestamp_tz(:val, 'YYYY-MM-DD"T"HH24:MI:SSTZH:TZM')
  
  Подробнее о функциях to_timestamp и to_timestamp_tz см. в официальной документации Oracle.
Для обращения к Oracle DB вам нужно установить пакет Astra Linux libaio1.
Firebird SQL.
Например:

firebirdsql://{user}:{password}@{server}:{port}/{database}

В качестве плейсхолдера в SQL-запросе используется знак вопроса: ?.

Если возникает проблема подключения к firebird на Windows, используйте полный путь до файла с базой данных, например:

firebirdsql://{user}:{password}@{server}:{port}/C:\Users\user\firebird\db.FDB
ClickHouse.
Например:

clickhouse://{user}:{password}@{server}:{port}/{database}

В качестве плейсхолдера в SQL-запросе используется знак вопроса: ?.

KUMA поддерживает работу со следующими типами данных:
- Данные, которые можно привести к строковому формату (например, строки, числовые значения и BLOB-объекты), отображаются в виде строк.
- Массивы данных и карты отображаются в формате JSON или с помощью встроенного механизма go fmt.Sprintf("%v",v) показываются оптимальным доступным образом.
Подключение к ClickHouse может осуществляться двумя способами:
- Без использования учетных данных: необходимо ввести URL-адрес clickhouse://host:port/database.
- С учетными данными: требуется использовать URL-адрес clickhouse://user:password@host:port/database.
При использовании шифрования TLS по умолчанию коннектор работает только по порту 9440. Если шифрование TLS не используется, по умолчанию коннектор работает с ClickHouse только по порту 9000.

Коннектор не работает по протоколу http.

Если на сервере с ClickHouse настроен режим шифрования TLS, а в параметрах коннектора в раскрывающемся списке Режим TLS выбрано Выключено или наоборот, соединение с базой данных не будет установлено.

Режим TLS используется только если указан драйвер ClickHouse.

Если вы хотите подключиться к ClickHouse KUMA, вам нужно в параметрах коннектора с типом SQL указать тип секрета PublicPKI, который содержит закрытый ключ PEM, закодированный в base64, и открытый ключ.

В параметрах коннектора с типом SQL для типа соединения ClickHouse вам нужно выбрать Выключено в раскрывающемся списке Режим TLS. Это значение недопустимо указывать, если для аутентификации используется сертификат. Если в раскрывающемся списке Режим TLS вы выбираете Нестандартный CA, в поле Столбец идентификатора вам нужно указать ID секрета типа certificate. Вам также нужно выбрать одно из следующих значений в раскрывающемся списке Тип авторизации:
- Выключено. При выборе этого значения вам нужно оставить пустым значение в поле Столбец идентификатора.
- Обычная. Вам нужно выбрать это значение, если установлен флажок Секрет отдельно и в поле Столбец идентификатора указан ID секрета типа credentials.
- PublicPKI. Вам нужно выбрать это значение, если установлен флажок Секрет отдельно и в поле Столбец идентификатора указан ID секрета типа PublicPKI.
Если в начальном значении идентификатора есть указание времени (datetime), в запросе необходимо ввести переменную для преобразования времени ( parseDateTimeBestEffort). Например, если время указано как 2021-01-01 00:10:00, то запрос будет следующим:

select connections, username, host, login_time from connections where login_time > parseDateTimeBestEffort(?) order by login_time

В SQL-запросах поддерживается последовательный запрос сведений из базы данных. Например, если в поле Запрос указать SQL-запрос select * from <название таблицы с данными> where id > <плейсхолдер>, при первом обращении к таблице в качестве значения плейсхолдера будет использоваться значение поля Начальное значение идентификатора. При этом в сервисе, в котором используется SQL-коннектор, сохраняется идентификатор последней прочитанной записи, и во время следующего обращения к базе данных в качестве значения плейсхолдера в запросе будет использоваться идентификатор этой записи.

В строку запроса рекомендуется добавлять команду order by, после которой указывается поле для сортировки. Например, select * from table_name where id > ? order by id.

Примеры SQL-запросов

SQLite, Firebird, MySQL, MariaDB, ClickHouse – select * from table_name where id > ? order by id

MsSQL – select * from table_name where id > @p1 order by id

PostgreSQL, Cockroach – select * from table_name where id > $1 order by id

Oracle – select * from table_name where id > :val order by id

Коннектор, тип file

Коннекторы с типом file используются для получения данных из текстовых файлов при работе с агентами Windows и Linux. Одна строка текстового файла считается одним событием. В качестве разделителя строк используется \n.

Если при создании коллектора на шаге Транспорт мастера установки вы указали коннектор с типом file, на шаге Парсинг событий в таблице Сопоставление вы можете передать в поле события KUMA название обрабатываемого коллектором файла или путь к файлу. Для этого в столбце Исходные данные укажите одно из следующих значений:

$kuma_fileSourceName – передать в поле события KUMA название обрабатываемого коллектором файла.
$kuma_fileSourcePath – передать в поле события KUMA путь к обрабатываемому коллектором файлу.

Когда вы используете коннектор с типом file, новые переменные в нормализаторе будут работать только с точками назначения с типом internal.

Для чтения Windows-файлов вам нужно создать коннектор с типом file и установить агент на Windows вручную. Windows-агент не должен читать свои файлы в папке, где установлен агент.Коннектор будет работать, даже если файловая система FAT: если дефрагментировать диск, коннектор перечитает все файлы с начала, так все inode файлов сбрасываются.

Мы не рекомендуем запускать агент под учетной записью администратора; необходимо, чтобы права чтения на папки/файлы были настроены для учетной записи агента. Мы не рекомендуем ставить агент на важные системы, лучше пересылать журналы и читать их на отдельных хостах с агентом.

Для каждого файла, с которым взаимодействует коннектор с типом file, создается файл состояния (states.ini) с параметрами offset, dev, inode и filename. Файл состояния позволяет коннектору при перечитывании файла возобновлять чтение с места, где коннектор остановился в последний раз, а не начинать чтение заново. Существуют следующие особенности перечитывания файлов:

Если параметр inode в файле состояния изменится, при перечитывании файла, которому соответствует файл состояния, коннектор начнет чтение заново. При удалении и повторном создании файла параметр inode в соответствующем файле состояния может не измениться. В этом случае при перечитывании файла коннектор возобновит чтение на основании параметра offset.
Если файл был обрезан или уменьшился его размер, при перечитывании файла коннектор начнет чтение заново.
Если файл был переименован, при перечитывании файла коннектор возобновит чтение с места, где коннектор остановился в последний раз.
Если директория с файлом была перемонтирована, при перечитывании файла коннектор возобновит чтение с места, где коннектор остановился в последний раз. Вы можете указать путь к файлам, с которыми взаимодействует коннектор, при настройке коннектора в поле Путь к файлу.

Доступные параметры коннектора с типом file описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – file. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Путь к файлу	Полный путь к файлу, с которым коннектор выполняет взаимодействие. Например, `/var/log/som?[1-9].log` или `с:\folder\logs.`. Недопустимо указывать следующие пути: `(?i)^[a-zA-Z]:\\Program Files`. `(?i)^[a-zA-Z]:\\Program Files $x86$`. `(?i)^[a-zA-Z]:\\Windows`. `(?i)^[a-zA-Z]:\\ProgramData\\Kaspersky Lab\\KUMA`. Шаблоны масок для файлов и директорий Маски: `''` – соответствует любой последовательности символов; `'[' [ '^' ] { <диапазон символов> } ']'` – класс символов (не должен быть пустым); `'?'` – соответствует любому одиночному символу. Диапазоны символов: `[0-9]` – числа; `[a-zA-Z]` – буквы латинского алфавита. Примеры: `/var/log/som?[1-9].log` `/mnt/dns_logs//dns.log` `/mnt/proxy/access.log` Ограничения при использовании префиксов к путям файлов Префиксы, которые невозможно использовать при указании путей к файлам: `/` `/bin` `/boot` `/dev` `/etc` `/home` `/lib` `/lib64` `/proc` `/root` `/run` `/sys` `/tmp` `/usr/` `/usr/bin/` `/usr/local/` `/usr/local/sbin/` `/usr/local/bin/` `/usr/sbin/` `/usr/lib/` `/usr/lib64/` `/var/` `/var/lib/` `/var/run/` `/opt/kaspersky/kuma/` Файлы по указанным ниже путям доступны: `/opt/kaspersky/kuma/clickhouse/logs/` `/opt/kaspersky/kuma/mongodb/log/` `/opt/kaspersky/kuma/victoria-metrics/log/` Ограничение количества отслеживаемых файлов по маске Количество одновременно отслеживаемых файлов по маске может быть ограничено параметром Ядра `max_user_watches`. Для просмотра значения параметра выполните команду: `cat /proc/sys/fs/inotify/max_user_watches` Если количество файлов для отслеживания превышает значение параметра `max_user_watches`, коллектор больше не сможет считывать события из файлов и в журнале коллектора появится следующая ошибка: `Failed to add files for watching {"error": "no space left on device"}` Для продолжения правильной работы коллектора вы можете настроить правильную ротацию файлов, чтобы количество файлов не превышало значение параметра `max_user_watches`, или увеличить значение `max_user_watches`. Для увеличения значения параметра выполните команду: `sysctl fs.inotify.max_user_watches=<количество файлов>` `sysctl -p` Вы можете добавить значение параметра `max_user_watches` в sysctl.conf, чтобы значение сохранялось всегда. После того, как вы увеличите значение параметра `max_user_watches`, коллектор успешно продолжит работу. Обязательный параметр.
Время ожидания изменений, сек	Время в секундах, в течение которого файл не должен обновляться, чтобы KUMA выполнила с ним действие, указанное в раскрывающемся списке Действие после таймаута. Значение по умолчанию: `0` – если файл не обновляется, KUMA не выполняет с ним никакого действия. Введенное значение не должно быть меньше значения, которое вы ввели на вкладке Дополнительные параметры в поле Интервал запросов, мс.
Действие после таймаута	Действие, которое KUMA выполняет с файлом по прошествии времени, указанного в поле Время ожидания изменений, сек: Ничего не делать. Значение по умолчанию. Добавление суффикса – добавить к названию файла расширение .kuma_processed и не обрабатывать файл даже при его обновлении. Удаление – удалить файл.
Auditd	Переключатель, включающий механизм auditd, который группирует полученные от коннектора строки событий auditd в одно событие auditd. Если вы включили этот переключатель, вы не можете выбрать значение в раскрывающемся списке Разделитель, так как для механизма auditd автоматически выбирается значение \n. Если вы включили этот переключатель в параметрах коннектора агента, вам нужно выбрать значение \n в раскрывающемся списке Разделитель в параметрах коннектора коллектора, в который агент отправляет события. Максимальный размер сгруппированного события auditd составляет примерно 4 174 304 символов. KUMA классифицирует события Auditd согласно алгоритму. Например, для обработки получены следующие записи: `type=LOGIN msg=audit(1712820601.957:21458): pid=4987 uid=0 subj=0:63:0:0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=2348 res=1` `type=SYSCALL msg=audit(1712820601.957:21458): arch=c000003e syscall=1 success=yes exit=1 a0=7 a1=7ffc9a07ba50 a2=1 a3=0 items=0 ppid=429 pid=4987 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=2348 comm="cron" exe="/usr/sbin/cron" subj=0:63:0:0 key=(null)` `type=PROCTITLE msg=audit(1712820601.957:21458): proctitle=2F7573722F7362696E2F43524F4E002D66` Согласно алгоритму в данном случае мы получим одно однострочное событие с типом LOGIN, так как тип LOGIN имеет код 1006 и он меньше AUDIT_FIRST_EVENT равного 1300, и одно многострочное событие с SYSCALL и PROCTITLE.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Количество обработчиков	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Режим опроса файла/папки	Режим, в котором коннектор перечитывает файлы в директории: Отслеживать изменения – коннектор перечитывает файлы в директории с интервалом в миллисекундах, указанным в поле Интервал запросов, мс, если файлы не обновляются. Значение по умолчанию. Например, если файлы постоянно обновляются, а в поле Интервал запросов, мс вы ввели `5000`, коннектор будет перечитывать файлы постоянно, а не с интервалом в 5000 миллисекунд. Если файлы не обновляются, коннектор будет перечитывать их с интервалом в 5000 миллисекунд. Отслеживать периодически – коннектор перечитывает файлы в директории с интервалом в миллисекундах, указанным в поле Интервал запросов, мс, вне зависимости от того, обновляются файлы или нет.
Интервал запросов, мс	Интервал в миллисекундах, с которым коннектор перечитывает файлы в директории. Значение по умолчанию: `0` – коннектор перечитывает файлы в директории каждые 700 миллисекунд. Вам нужно выбрать в раскрывающемся списке Режим опроса файла/папки режим, в котором коннектор перечитывает файлы в директории. Введенное значение не должно быть меньше значения, которое вы ввели на вкладке Основные параметры в поле Время ожидания изменений, сек. Мы рекомендуем ввести значение меньше, чем значение, которое вы ввели в поле TTL буфера событий, так как это может негативно сказаться на работе функции Auditd.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
TTL буфера событий	Время жизни буфера для строк событий auditd в миллисекундах. Строки событий auditd попадают в коллектор KUMA и накапливаются в буфере. Это позволяет сгруппировать несколько строк событий auditd в одно событие auditd. Отсчет времени жизни буфера начинается при получении первой строки события auditd или при истечении предыдущего времени жизни буфера. Доступные значения: от 700 до 30 000. Значение по умолчанию: `2000`. Это поле доступно, если вы включили переключатель Auditd на вкладке Основные параметры. Строки событий auditd, накопленные в буфере, хранятся в оперативной памяти сервера. Мы рекомендуем с осторожностью увеличивать размер буфера, так как это может привести к использованию слишком большого количества оперативной памяти сервера коллектором KUMA. Вы можете просмотреть в метриках KUMA, сколько оперативной памяти сервера использует коллектор KUMA. Если вы хотите, чтобы время жизни буфера составляло более 30 000 миллисекунд, мы рекомендуем использовать другой транспорт доставки событий auditd. Например, вы можете использовать агента или предварительно накапливать события auditd в файле, после чего обрабатывать файл коллектором KUMA.
Заголовок транспорта	Регулярное выражение для событий auditd, по которому определяются строки событий auditd. Вы можете использовать значение по умолчанию или изменить его. Регулярное выражение должно содержать группы `record_type_name`, `record_type_value` и `event_sequence_number`. Если многострочное событие auditd содержит префикс, для первой строки события auditd префикс сохраняется, а для последующих – отбрасывается. Вы можете вернуться регулярному выражению для событий auditd по умолчанию, нажав на кнопку Установить значение по умолчанию.

Коннектор, тип 1c-log

Коннекторы с типом 1c-log используются для получения данных из технологических журналов программы 1С при работе с агентами Linux. В качестве разделителя строк используется \n. Из многострочной записи о событии коннектор принимает только первую строку.

Доступные параметры коннектора с типом 1с-log описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – 1c-log. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Путь к директории	Полный путь к директории с файлами, с которыми требуется выполнять взаимодействие, например `/var/log/1c/logs/`. Ограничения при использовании префиксов к путям файлов Префиксы, которые невозможно использовать при указании путей к файлам: `/` `/bin` `/boot` `/dev` `/etc` `/home` `/lib` `/lib64` `/proc` `/root` `/run` `/sys` `/tmp` `/usr/` `/usr/bin/` `/usr/local/` `/usr/local/sbin/` `/usr/local/bin/` `/usr/sbin/` `/usr/lib/` `/usr/lib64/` `/var/` `/var/lib/` `/var/run/` `/opt/kaspersky/kuma/` Файлы по указанным ниже путям доступны: `/opt/kaspersky/kuma/clickhouse/logs/` `/opt/kaspersky/kuma/mongodb/log/` `/opt/kaspersky/kuma/victoria-metrics/log/` Обязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Режим опроса файла/папки	Режим, в котором коннектор перечитывает файлы в директории: Отслеживать изменения – коннектор перечитывает файлы в директории с интервалом в миллисекундах, указанным в поле Интервал запросов, мс, если файлы не обновляются. Значение по умолчанию. Например, если файлы постоянно обновляются, а в поле Интервал запросов, мс вы ввели `5000`, коннектор будет перечитывать файлы постоянно, а не с интервалом в 5000 миллисекунд. Если файлы не обновляются, коннектор будет перечитывать их с интервалом в 5000 миллисекунд. Отслеживать периодически – коннектор перечитывает файлы в директории с интервалом в миллисекундах, указанным в поле Интервал запросов, мс, вне зависимости от того, обновляются файлы или нет.
Интервал запросов, мс.	Интервал в миллисекундах, с которым коннектор перечитывает файлы в директории. Значение по умолчанию: `0` – коннектор перечитывает файлы в директории каждые 700 миллисекунд. Вам нужно выбрать в раскрывающемся списке Режим опроса файла/папки режим, в котором коннектор перечитывает файлы в директории.
Кодировка символов	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Схема работы коннектора:

Происходит поиск всех файлов технологических журналов 1C. Требования к файлам журналов:
- Файлы с расширением LOG создаются в директории журналов (по умолчанию /var/log/1c/logs/) в поддиректории каждого процесса.
  Пример поддерживаемой структуры технологических журналов 1c
- События записываются в файл в течение часа, после чего создается следующий файл журнала.
- Название файлов имеет следующий формат: <ГГ><ММ><ДД><ЧЧ>.log. Например, 22111418.log – файл, созданный в 2022 году, в 11 месяце, 14 числа в 18 часов.
- Каждое событие начинается с времени события в формате <мм>:<cc>.<микросекунды>-<длительность в микросекундах>.
Отбрасываются уже обработанные файлы. Сведения об обработанных файлах хранятся в файле /<рабочая директория коллектора>/1c_log_connector/state.json.
Принимаются на обработку новые события, при этом время события приводится к формату RFC3339.
Обрабатывается следующий в очереди файл.

Ограничения коннектора:

Установка коллектора с коннектором 1c-log на ОС Windows не поддерживается. Для обеспечения передачи файлов с журналами 1С для обработки коллектором KUMA выполните следующие действия:
1. На сервере Windows предоставьте доступ для чтения по сети к папке с журналами 1С.
2. На сервере Linux примонтируйте сетевую папку с журналами 1С на сервере Linux (см. список поддерживаемых ОС).
3. На сервере Linux установите коллектор, который будет обрабатывать файлы с журналами 1С из примонтированной сетевой папки.
Из многострочной записи о событии на обработку принимается только первая строка.
Нормализатор обрабатывает только следующие типы событий:
- ADMIN.
- ATTN.
- CALL.
- CLSTR.
- CONN.
- DBMSSQL.
- DBMSSQLCONN.
- DBV8DBENG.
- EXCP.
- EXCPCNTX.
- HASP.
- LEAKS.
- LIC.
- MEM.
- PROC.
- SCALL.
- SCOM.
- SDBL.
- SESN.
- SINTEG.
- SRVC.
- TLOCK.
- TTIMEOUT.
- VRSREQUEST.
- VRSRESPONSE.

Коннектор, тип 1c-xml

Коннекторы с типом 1c-xml используются для получения данных из журналов регистрации программы 1С при работе с агентами Linux. При обработке коннектором многострочные события преобразовываются в однострочные.

Доступные параметры коннектора с типом 1с-xml описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – 1c-xml. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Путь к директории	Полный путь к директории с файлами, с которыми требуется выполнять взаимодействие, например `/var/log/1c/logs/`. Ограничения при использовании префиксов к путям файлов Префиксы, которые невозможно использовать при указании путей к файлам: `/` `/bin` `/boot` `/dev` `/etc` `/home` `/lib` `/lib64` `/proc` `/root` `/run` `/sys` `/tmp` `/usr/` `/usr/bin/` `/usr/local/` `/usr/local/sbin/` `/usr/local/bin/` `/usr/sbin/` `/usr/lib/` `/usr/lib64/` `/var/` `/var/lib/` `/var/run/` `/opt/kaspersky/kuma/` Файлы по указанным ниже путям доступны: `/opt/kaspersky/kuma/clickhouse/logs/` `/opt/kaspersky/kuma/mongodb/log/` `/opt/kaspersky/kuma/victoria-metrics/log/` Обязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Размер буфера	Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
Режим опроса файла/папки	Режим, в котором коннектор перечитывает файлы в директории: Отслеживать изменения – коннектор перечитывает файлы в директории с интервалом в миллисекундах, указанным в поле Интервал запросов, мс, если файлы не обновляются. Значение по умолчанию. Например, если файлы постоянно обновляются, а в поле Интервал запросов, мс вы ввели `5000`, коннектор будет перечитывать файлы постоянно, а не с интервалом в 5000 миллисекунд. Если файлы не обновляются, коннектор будет перечитывать их с интервалом в 5000 миллисекунд. Отслеживать периодически – коннектор перечитывает файлы в директории с интервалом в миллисекундах, указанным в поле Интервал запросов, мс, вне зависимости от того, обновляются файлы или нет.
Интервал запросов, мс	Интервал в миллисекундах, с которым коннектор перечитывает файлы в директории. Значение по умолчанию: `0` – коннектор перечитывает файлы в директории каждые 700 миллисекунд. Вам нужно выбрать в раскрывающемся списке Режим опроса файла/папки режим, в котором коннектор перечитывает файлы в директории.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.

Схема работы коннектора:

Происходит поиск всех файлов с журналами 1C с расширением XML внутри указанной директории. Журналы помещаются в директорию или вручную, или через приложение, написанное на языке 1С, например, с помощью функции ВыгрузитьЖурналРегистрации(). Коннектор поддерживает журналы, полученные только таким образом. Подробнее о том, как получить журналы 1С, см. в официальной документации 1С.
Файлы сортируются по возрастанию времени последнего изменения и отбрасываются все файлы, измененные раньше, чем последний прочитанный.
Сведения об обработанных файлах хранятся в файле /<рабочая директория коллектора>/1c_xml_connector/state.ini и имеют следующий формат: offset=<число>\ndev=<число>\ninode=<число>.
В каждом непрочитанном файле определяются события.
События из файла по очереди принимаются на обработку, при этом многострочные события преобразовываются в однострочные события.

Ограничения коннектора:

Установка коллектора с коннектором 1c-xml на ОС Windows не поддерживается. Для обеспечения передачи файлов с журналами 1С для обработки коллектором KUMA выполните следующие действия:
1. На сервере Windows предоставьте доступ для чтения по сети к папке с журналами 1С.
2. На сервере Linux примонтируйте сетевую папку с журналами 1С на сервере Linux (см. список поддерживаемых ОС).
3. На сервере Linux установите коллектор, который будет обрабатывать файлы с журналами 1С из примонтированной сетевой папки.
Не читаются файлы с неправильным форматом событий. Например, если теги события в файле на русском языке, коллектор не прочитает такие события.
Пример правильного XML-файла с событием.

<?xml version="1.0" encoding="UTF-8"?>

<v8e:EventLog xmlns: v8e="http://v8.1c.ru/eventLog"

xmlns:xs="http://www.w3.org/2001/XMLSchema"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

<v8e:Event>

<v8e:Level>Information</v8e:Level>

<v8e:Date>2022-12-07T01:55:44+03:00</v8e:Date>

<v8eApplicationName>generator.go</v8e:ApplicationName>

<v8e:ApplicationPresentation>generator.go</v8e:ApplicationPresentation>

<v8e:Event>Test event type: Count test</v8e:Event>

<v8e:EventPresentation></v8e:Event Presentation>

<v8e:User>abcd_1234</v8e:User>

<v8e:UserName>TestUser</v8e:UserName>

<v8e:Computer>Test OC</v8e:Computer>

<v8e:Metadata></v8e:Metadata>

<v8e:MetadataPresentation></v8e:MetadataPresentation>

<v8e:Comment></v8e:Comment>

<v8e:Data>

<v8e:Name></v8e:Name>

<v8e:CurrentOSUser></v8e:CurrentOSUser>

</v8e:Data>

<v8e:DataPresentation></v8e:DataPresentation>

<v8e:TransactionStatus>NotApplicable</v8e:TransactionStatus>

<v8e:TransactionID></v8e:TransactionID>

<v8e:Connection>0</v8e:Connection>

<v8e:Session></v8e:Session>

<v8e:ServerName>kuma-test</v8e:ServerName>

<v8e:Port>80</v8e:Port>

<v8e:SyncPort>0</v8e:SyncPort>

</v8e:Event>

</v8e:EventLog>

Пример обработанного события.
Если дополнить уже прочитанный коннектором файл новыми событиями и если этот файл не является последним прочитанным файлом в директории, все события из файла будут обработаны заново.

Коннектор, тип diode

Коннекторы с типом diode используются для однонаправленной передачи данных в промышленных ICS-сетях с помощью диода данных. Доступные параметры коннектора с типом diode описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – diode. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Директория с событиями от диода данных	Полный путь к директории на сервере коллектора KUMA, в которую диод данных перемещает файлы с событиями из изолированного сегмента сети. После считывания коннектором файлы удаляются из директории. Максимальная длина пути: до 255 символов в кодировке Unicode. Ограничения при использовании префиксов к путям Префиксы, которые невозможно использовать при указании путей к файлам: `/` `/bin` `/boot` `/dev` `/etc` `/home` `/lib` `/lib64` `/proc` `/root` `/run` `/sys` `/tmp` `/usr/` `/usr/bin/` `/usr/local/` `/usr/local/sbin/` `/usr/local/bin/` `/usr/sbin/` `/usr/lib/` `/usr/lib64/` `/var/` `/var/lib/` `/var/run/` `/opt/kaspersky/kuma/` Файлы по указанным ниже путям доступны: `/opt/kaspersky/kuma/clickhouse/logs/` `/opt/kaspersky/kuma/mongodb/log/` `/opt/kaspersky/kuma/victoria-metrics/log/` Обязательный параметр.
Разделитель	Символ, определяющий границу между событиями: \n; \t; \0. Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n. Вам нужно выбрать одинаковое значение в раскрывающемся списке Разделитель в параметрах коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Количество обработчиков	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2. Допускается указать целое положительное число не больше 999.
Интервал запросов, сек.	Интервал в секундах для считывания файлов из директории с событиями от диода данных. Значение по умолчанию: 2 секунды.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy. Вам нужно выбрать одинаковое значение в раскрывающемся списке Snappy в параметрах коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

Коннектор, тип ftp

Коннекторы с типом ftp используются для получения данных по протоколу File Transfer Protocol при работе с агентами Windows и Linux. Доступные параметры коннектора с типом ftp описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – ftp. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	URL-адрес файла или маски файлов, начинающийся со схемы `'ftp://'`. Для маски файлов вы можете использовать символы `* ? [...]`. Шаблоны масок для файлов Маски: `''` – соответствует любой последовательности символов; `'[' [ '^' ] { <диапазон символов> } ']'` – класс символов (не должен быть пустым); `'?'` – соответствует любому одиночному символу. Диапазоны символов: `[0-9]` – числа; `[a-zA-Z]` – буквы латинского алфавита. Примеры: `/var/log/som?[1-9].log` `/mnt/dns_logs//dns.log` `/mnt/proxy/access.log` Если URL-адрес не содержит номер порта FTP-сервера, автоматически указывается номер порта `21`. Обязательный параметр.
Секрет
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.

Коннектор, тип nfs

Коннекторы с типом nfs используются для получения данных по протоколу Network File System при работе с агентами Windows и Linux. Доступные параметры коннектора с типом nfs описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – nfs. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	Путь до удаленной директории в формате `nfs://<имя хоста>/<путь>`. Обязательный параметр.
Маска имени файла	Маска, по которой фильтруются файлы с событиями. Допустимо использование масок "`*`", "`?`", "`[...]`".
Интервал запросов, сек.	Интервал опроса в секундах. Промежуток времени, через который перечитываются файлы с удаленной системы. Значение по умолчанию: `0`.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.

Коннектор, тип wmi

Коннекторы с типом wmi используются для получения данных с помощью Windows Management Instrumentation при работе с агентами Windows. Доступные параметры коннектора с типом wmi описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – wmi. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
URL	URL-адрес коллектора, который вы создали для получения данных с помощью Windows Management Instrumentation, например `kuma-collector.example.com:7221`. При создании коллектора автоматически создается агент, который будет получать данные на удаленном устройстве и перенаправлять их в сервис коллектора. Если вы знаете, на каком сервере будет установлен сервис коллектора, URL-адрес известен заранее. Вы можете ввести URL-адрес коллектора в поле URL после завершения мастера установки. Для этого вам нужно предварительно скопировать URL-адрес коллектора в разделе Ресурсы → Активные сервисы. Обязательный параметр.
Учетные данные по умолчанию	Нет значения. Вам нужно указать учетные данные для подключения к хостам в таблице Удаленные хосты.
Удаленные хосты	Параметры удаленных устройств Windows, к которым требуется установить подключение: Сервер – IP-адрес или имя устройства, с которого необходимо принимать данные, например `machine-1`. Обязательный параметр. Домен – название домена, в котором расположено удаленное устройство. Например, `example.com`. Обязательный параметр. Тип журналов – название журналов Windows, которые требуется получить. По умолчанию в этом раскрывающемся списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами. Для этого введите название пользовательских журналов в поле Журналы Windows, после чего нажмите на клавишу `ENTER`. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов. Журналы, доступные по умолчанию: Application. ForwardedEvents. Security. System. HardwareEvents. Если в одном из подключений WMI используется хотя бы один журнал с неверным названием, агент, использующий коннектор, не будет получать события из всех журналов данного подключения, даже если названия остальных журналов указаны верно. При этом подключения WMI-агента, в которых все названия журналов указаны правильно, будет работать правильно. Секрет – учетные данные для доступа к удаленному устройству Windows с правами на чтение журналов. Если оставить этот раскрывающийся список пустым, будут использоваться учетные данные из секрета, выбранного в раскрывающемся списке Учетные данные, используемые по умолчанию. Логин в секрете необходимо указывать без домена, значение домена для доступа к хосту берется из столбца Домен таблицы Удаленные хосты. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет. Вы можете добавить несколько удаленных устройств Windows или удалить удаленное устройство Windows. Для добавления удаленного устройства Windows нажмите на кнопку + Добавить. Для удаления удаленного устройства Windows установите рядом с ним флажок и нажмите на кнопку Удалить.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates. Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в будущих версиях KUMA.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.

При изменении коннектора этого типа параметры Режим TLS и Сжатие видны и доступны как на коннекторе-ресурсе, так и на коллекторе. Если вы используете коннектор этого типа на коллекторе, значения параметров Режим TLS и Сжатие передаются в точку назначения автоматически созданных агентов.

Получение событий с удаленного устройства

Условия для получения событий с удаленного устройства Windows с агентом KUMA:

Для запуска агента KUMA на удаленном устройстве вам нужно использовать учетную запись с правами Log on as a service.
Для получения событий от агента KUMA вам нужно использовать учетную запись с правами Event Log Readers. Для серверов домена может быть создана одна такая учетная запись, чтобы через групповую политику ее права на чтение логов можно было распространить на все серверы и рабочие станции домена.
На удаленных устройствах Windows необходимо открыть следующие TCP-порты 135, 445, 49152-65535.
На удаленных устройствах требуется запустить следующие службы:
- Remote Procedure Call (RPC)
- RPC Endpoint Mapper

Коннектор, тип wec

Коннекторы с типом wec используются для получения данных с помощью Windows Event Forwarding (WEF) и Windows Event Collector (WEC) или локальных журналов ОС хоста под управлением Windows при работе с агентами Windows. Доступные параметры коннектора с типом wec описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – wec. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	URL-адрес коллектора, который вы создали для получения данных с помощью Windows Event Collector, например `kuma-collector.example.com:7221`. При создании коллектора автоматически создается агент, который будет получать данные на удаленном устройстве и перенаправлять их в сервис коллектора. Если вы знаете, на каком сервере будет установлен сервис коллектора, URL-адрес известен заранее. Вы можете ввести URL-адрес коллектора в поле URL после завершения мастера установки. Для этого вам нужно предварительно скопировать URL-адрес коллектора в разделе Ресурсы → Активные сервисы. Обязательный параметр.
Журналы Windows	Названия журналов Windows, которые требуется получить. По умолчанию в этом раскрывающемся списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами. Для этого введите название пользовательских журналов в поле Журналы Windows, после чего нажмите на клавишу `ENTER`. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов. Преднастроенные журналы: Application. ForwardedEvents. Security. System. HardwareEvents. Если неверно указать название хотя бы одного журнала, в этом случае агент, использующий коннектор, не будет получать события из всех журналов, даже если названия остальных журналов указаны верно.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates. Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в будущих версиях KUMA.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.

Для запуска агента KUMA на удаленном устройстве вам нужно использовать сервисную учетную запись с правами Log on as a service. Для получения событий из журнала ОС сервисная учётная запись также должна обладать правами Event Log Readers.

Вы можете создать одну учетную запись с правами Log on as a service и Event Log Readers, а затем права этой учетной записи на чтение журналов распространить на все серверы и рабочие станции домена с помощью групповой политики.

Мы рекомендуем запретить для сервисной учётной записи возможность интерактивного входа.

Коннектор, тип etw

Коннекторы с типом etw используются для получения расширенных журналов DNS-серверов. Доступные параметры коннектора с типом etw описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – etw. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	URL-адрес DNS-сервера. Обязательный параметр.
Имя сессии	Имя сессии, которое соответствует ETW-провайдеру Microsoft-Windows-DNSServer {EB79061A-A566-4698-9119-3ED2807060E7}. Если в коннекторе с типом etw имя сессии указано неправильно, указан неправильный провайдер в сессии или указан неправильный режим отправки событий (для правильной отправки событий на стороне Windows Server должен быть указан режим Real time или File and Real time), от агента не будут поступать события, в журнале агента на Windows будет зарегистрирована ошибка, а статус агента будет зеленым. При этом попытки получить события каждые 60 сек не будет. Если вы изменяете параметры сессии на стороне Windows, вам нужно перезапустить агент etw и/или сессию, чтобы изменения были применены. Подробнее о настройке параметров сессии на стороне Windows для получения событий DNS-сервера, см. в разделе Настройка получения событий DNS-сервера с помощью агента ETW. Обязательный параметр.
Извлекать информацию о событии	Переключатель, включающий извлечение минимального количества данных о событии, которое возможно без необходимости скачивать сторонние метаданные с диска. Такой способ позволяет сэкономить CPU на машине с агентом. По умолчанию этот переключатель включен и извлекаются все данные о событии.
Извлекать свойства события	Переключатель, включающий извлечение свойств событий. Если этот переключатель выключен, свойства события не будут извлечены и это позволит сэкономить CPU на машине с агентом. По умолчанию этот переключатель включен и свойства события извлекаются. Вы можете включить переключатель Извлекать свойства события, только если включен переключатель Извлекать информацию о событии.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates. Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в будущих версиях KUMA.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.

Коннектор, тип snmp

Коннекторы с типом snmp используются для получения данных с помощью Simple Network Management Protocol при работе с агентами Windows и Linux. Для обработки событий, полученных по протоколу SNMP, вам нужно использовать нормализатор с типом json. Поддерживаемые версии протокола SNMP:

snmpV1.
snmpV2.
snmpV3.

В агенте можно использовать только один коннектор snmp, созданный в параметрах агента. При необходимости использования нескольких коннекторов snmp, один или все коннекторы snmp нужно создать как отдельный ресурс и выбрать в параметрах подключения.

Доступные параметры коннектора с типом snmp описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – snmp. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
SNMP-ресурс	Параметры подключения к SNMP-ресурсу: Версия SNMP – версия используемого протокола SNMP. Обязательный параметр. Хост – имя или IP-адрес хоста. Доступные форматы: <`имя хоста`>; <`IPv4-адрес`>; <`IPv6-адрес`>. Обязательный параметр. Порт – Номер порта для подключения к хосту. Как правило используется значение `161` или `162`. Обязательный параметр. Секрет – секрет, в котором хранятся учетные данные для подключения через Simple Network Management Protocol. Тип секрета должен соответствовать версии SNMP. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет. Обязательный параметр. Вы можете добавить несколько подключений к SNMP-ресурсам или удалить подключение к SNMP-ресурсу. Для добавления подключения к SNMP-ресурсу нажмите на кнопку + SNMP-ресурс. Для удаления подключения к SNMP-ресурсу нажмите рядом с ним на значок удаления .
Параметры	Правила именования получаемых данных, по которым идентификаторы объектов OID будут преобразовываться в ключи, с которыми сможет взаимодействовать нормализатор. Доступные параметры: Название параметра – название для типа данных, например `Имя узла` или `Время работы узла`. Обязательный параметр. OID – уникальный идентификатор, который определяет, где искать требуемые данные на источнике событий, например `1.3.6.1.2.1.1.5`. KUMA запрашивает данные с помощью команды SNMP GET. Обязательный параметр. Ключ – уникальный идентификатор, который возвращается в ответ на запрос к устройству со значением запрошенного параметра, например `sysName`. Вы можете обращаться к ключу при нормализации данных. Обязательный параметр. MAC-адрес – если этот флажок установлен, KUMA правильно производит декодирование данных, где OID содержит данные о MAC-адресе в формате OctetString. После декодирования MAC-адрес будет преобразован в формат `Строка` вида XX:XX:XX:XX:XX:XX. Вы можете выполнить следующие действия с правилами: Добавить несколько правил. Для добавления правила нажмите на кнопку + Добавить. Удалить правила. Для удаления правила установите рядом с ним флажок и нажмите на кнопку Удалить. Очистить параметры правил. Для этого нажмите на кнопку Очистить значения.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.

Настройка источника SNMP-trap сообщений для Windows

Коннектор, тип snmp-trap

Коннекторы с типом snmp-trap используются для пассивного приема событий с помощью ловушек SNMP (англ. SNMP traps) при работе с агентами Windows и Linux. В коннекторе события snmp-trap принимаются и подготавливаются к нормализации путем сопоставления идентификаторов SNMP-объектов с временными ключами. Затем сообщение необходимо передать в JSON-нормализатор, где временные ключи будут сопоставлены с полями KUMA и будет создано событие. Для обработки событий, полученных по SNMP, вам нужно использовать нормализатор с типом json. Поддерживаемые версии протокола SNMP:

snmpV1.
snmpV2.

Доступные параметры коннектора с типом snmp-trap описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – snmp-trap. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
SNMP-ресурс	Параметры соединения для получения событий snmp-trap: Версия SNMP – версия используемого протокола SNMP: snmpV1; snmpV2. Например, Windows по умолчанию использует версию протокола SNMP snmpV2. Обязательный параметр. URL – URL-адрес для получения событий SNMP trap. Вы можете ввести URL-адрес в одном из следующих форматов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес>:<номер порта>`; `:<номер порта>`. Обязательный параметр. Вы можете добавить несколько соединений или удалить соединение. Для добавления соединения нажмите на кнопку + SNMP-ресурс. Для удаления SNMP-ресурса нажмите рядом с ним на значок удаления .
Параметры	Правила именования получаемых данных, по которым идентификаторы объектов OID будут преобразовываться в ключи, с которыми сможет взаимодействовать нормализатор. Доступные параметры: Название параметра – название для типа данных, например `Имя узла` или `Время работы узла`. Обязательный параметр. OID – уникальный идентификатор, который определяет, где искать требуемые данные на источнике событий, например `1.3.6.1.2.1.1.5`. KUMA запрашивает данные с помощью команды SNMP GET. Обязательный параметр. Ключ – уникальный идентификатор, который возвращается в ответ на запрос к устройству со значением запрошенного параметра, например `sysName`. Вы можете обращаться к ключу при нормализации данных. Обязательный параметр. MAC-адрес – если этот флажок установлен, KUMA правильно производит декодирование данных, где OID содержит данные о MAC-адресе в формате OctetString. После декодирования MAC-адрес будет преобразован в формат `Строка` вида XX:XX:XX:XX:XX:XX. Вы можете выполнить следующие действия с правилами: Добавить несколько правил. Для добавления правила нажмите на кнопку + Добавить. Удалить правила. Для удаления правила установите рядом с ним флажок и нажмите на кнопку Удалить. Очистить параметры правил. Для этого нажмите на кнопку Очистить значения. Заполнить таблицу сопоставлениями для значений OID, поступающих в журналах WinEventLog. Для этого нажмите на кнопку Применить значения OID для WinEventLog. Если в поступающих событиях необходимо определить и нормализовать больше данных, дополните таблицу строками с перечнем OID-объектов и их ключей. Данные обрабатываются по принципу списка разрешенных: объекты, которые не указаны в таблице, не будут переданы в нормализатор для дальнейшей обработки.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

При получении событий snmp-trap из Windows с русской локализацией мы рекомендуем изменить кодировку символов в коннекторе с типом snmp-trap на Windows 1251, если в событии получены недопустимые символы.

В этом разделе

Настройка и запуск служб SNMP и SNMP Trap

Настройка источника SNMP-trap сообщений для Windows

Настройка устройства Windows для отправки SNMP-trap сообщений в коллектор KUMA происходит в несколько этапов:

Настройка и запуск служб SNMP и SNMP Trap
Настройка службы Event to Trap Translator

События от источника SNMP-trap сообщений должен принимать коллектор KUMA, в котором используется коннектор типа snmp-trap и нормализатор типа json.

В этом разделе

Настройка службы Event to Trap Translator

Настройка и запуск служб SNMP и SNMP Trap

Чтобы настроить и запустить службы SNMP и SNMP Trap в Windows 10:

Откройте раздел Settings → Apps → Apps and features → Optional features → Add feature → Simple Network Management Protocol (SNMP) и нажмите Install.
Дождитесь завершения установки и перезагрузите компьютер.
Убедитесь, что служба SNMP запущена. Если какие-то из перечисленных ниже служб не запущены, включите их:
- Services → SNMP Service.
- Services → SNMP Trap.
Нажмите правой кнопкой мыши на службе Services → SNMP Service, в контекстном меню выберите Properties и задайте следующие параметры:
- На вкладке Log On установите флажок Local System account.
- На вкладке Agent заполните поля Contact (например, укажите User-win10) и Location (например, укажите ekaterinburg).
- На вкладке Traps:
  - В поле Community Name введите community public и нажмите Add to list.
  - В поле Trap destination нажмите Add, укажите IP-адрес или хост сервера KUMA, на котором развернут коллектор, ожидающий SNMP-события, и нажмите Add.
- На вкладке Security:
  - Установите флажок Send authentication trap.
  - В таблице Accepted community names нажмите Add, а затем введите Community Name public, указав в качестве Community rights значение READ WRITE.
  - Установите флажок Accept SNMP packets from any hosts.
Нажмите Apply и подтвердите выбор.
Нажмите правой кнопкой мыши на службу Services → SNMP Service и выберите Restart.

Чтобы настроить и запустить службы SNMP и SNMP Trap в Windows XP:

Откройте раздел Start → Control Panel → Add or Remove Programs → Add/Remove Windows Components → Management and Monitoring Tools → Details.
Выберите Simple Network Management Protocol и WMI SNMP Provider, затем нажмите OK → Next.
Дождитесь завершения установки и перезагрузите компьютер.
Убедитесь, что служба SNMP запущена. Если какие-то из перечисленных ниже служб не запущены, включите их, выбрав для параметра Startup type значение Automatic:
- Services → SNMP Service.
- Services → SNMP Trap.
Нажмите правой кнопкой мыши на службе Services → SNMP Service, в контекстном меню выберите Properties и задайте следующие параметры:
- На вкладке Log On установите флажок Local System account.
- На вкладке Agent заполните поля Contact (например, укажите User-win10) и Location (например, укажите ekaterinburg).
- На вкладке Traps:
  - В поле Community Name введите community public и нажмите Add to list.
  - В поле Trap destination нажмите Add, укажите IP-адрес или хост сервера KUMA, на котором развернут коллектор, ожидающий SNMP-события, и нажмите Add.
- На вкладке Security:
  - Установите флажок Send authentication trap.
  - В таблице Accepted community names нажмите Add, а затем введите Community Name public, указав в качестве Community rights значение READ WRITE.
  - Установите флажок Accept SNMP packets from any hosts.
Нажмите Apply и подтвердите выбор.
Нажмите правой кнопкой мыши на службу Services → SNMP Service и выберите Restart.

Изменение порта службы snmptrap

При необходимости вы можете изменить порт службы snmptrap.

Чтобы изменить порт службы snmptrap:

Откройте папку C:\Windows\System32\drivers\etc.
Откройте файл services с помощью программы Notepad от имени администратора.
В разделе файла service name для службы snmptrap укажите порт коннектора snmp-trap, добавленный в коллектор KUMA.
Сохраните файл.
Откройте панель управления и выберите Administrative Tools → Services.
Нажмите на службу SNMP Service правой кнопкой мыши и выберите Restart.

Настройка службы Event to Trap Translator

Чтобы настроить службу Event to Trap Translator, с помощью которой события Windows переводятся в SNMP-trap сообщения:

Наберите в командной строке evntwin и нажмите Enter.
В переключателе Configuration type выберите Custom, а затем нажмите на кнопку Edit.
В блоке параметров Event sources найдите и добавьте с помощью кнопки Add события, которые вы хотите отправить в коллектор KUMA с установленным коннектором SNMP Trap.
Нажмите на кнопку Settings, в открывшемся окне установите флажок Don't apply throttle и нажмите OK.
Нажмите Apply и подтвердите выбор.

Коннектор, тип kata/edr

Коннекторы с типом kata/edr используются для получения данных KEDR по API. Доступные параметры коннектора с типом kata/edr описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – kata/edr. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов: `<имя хоста>:<номер порта>`; `<IPv4-адрес>:<номер порта>`; `<IPv6-адрес><номер порта>`. IPv6-адреса можно указать в формате `[<IPv6-адрес>%<интерфейс>:<номер порта>`, например `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`. Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр.
Секрет	Секрет, в котором хранятся учетные данные для подключения к серверу KATA/EDR. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет. Обязательный параметр.
Внешний ID	Идентификатор для внешних систем. KUMA автоматически генерирует идентификатор и указывает его в этом поле.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Кодировка символов	Кодировка символов. Мы рекомендуем применять конвертацию, только если в полях нормализованного события отображаются недопустимые символы. По умолчанию значение не выбрано.
Максимальное количество событий	Максимальное количество событий в одном запросе. По умолчанию используется значение, указанное на сервере KATA/EDR.
Время ожидания получения событий	Время ожидания получения событий от сервера KATA/EDR в секундах. Значение по умолчанию: `0` – используется значение, указанное на сервере KATA/EDR.
Время ожидания ответа	Время ожидания ответа от сервера KATA/EDR в секундах. Значение по умолчанию: `0` – 1800 секунд.
Фильтр KEDRQL	Фильтр запросов к серверу KATA/EDR. Подробнее о языке запросов см. в Справке KEDR.

Коннектор, тип vmware

Коннекторы с типом vmware используются для получения данных VMware vCenter по API. Доступные параметры коннектора с типом vmware описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – vmware. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
URL	URL-адрес API VMware. Вам нужно указать имя хоста и номер порта в URL-адресе. Вы можете указать только один URL-адрес. Обязательный параметр.
Учетные данные VMware	Секрет, где хранится логин и пароль для подключения к API VMware. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет. Обязательный параметр.
Время ожидания, сек	Время ожидания в секундах между запросом, который не вернул события, и новым запросом. Значение по умолчанию: 5 секунд. Если вы указываете `0`, используется значение по умолчанию.
Количество запрашиваемых событий	Количество запрашиваемых событий из API VMware за один запрос. Значение по умолчанию: `100`. Максимальное значение: `1000`.
Начальная временная метка	Дата и время, начиная с которого события будут считываться из API VMware. По умолчанию события считываются из API VMware с момента запуска коллектора. При запуске после остановки коллектора, считывание событий будет происходить с последней сохраненной даты.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

Режим TLS

Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
Включено – использовать шифрование TLS, но без верификации сертификатов.
Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.
Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша .

Как создать сертификат, подписанный центром сертификации?
Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL).

Чтобы создать сертификат, подписанный центром сертификации:
1. Создайте ключ, который будет использоваться центром сертификации, например:
  openssl genrsa -out ca.key 2048
2. Создайте сертификат для созданного ключа, например:
  openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt
3. Создайте приватный ключ и запрос на его подписание в центре сертификации, например:
  openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr
4. Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную subjectAltName доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например:
  openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
5. Загрузите созданный сертификат server.crt в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate.
Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку x509: certificate signed by unknown authority.

Коннектор, тип elastic

Коннекторы с типом elastic используются для получения данных Elasticsearch. Поддерживается работа с Elasticsearch версии 7.0.0. Доступные параметры коннектора с типом elastic описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – elastic. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Соединение	Параметры подключения к серверу Elasticsearch: URL – URL-адрес сервера Elasticsearch. Вы можете добавить несколько URL-адресов или удалить URL-адрес. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления . Обязательный параметр. Индекс – имя индекса в Elasticsearch. Обязательный параметр. Запрос – запрос в Elasticsearch. Мы рекомендуем указывать в запросе параметр `size` для предотвращения проблем с производительностью KUMA и Elasticsearch, а также параметр `sort` для направления сортировки. Для параметра `sort` в запросе возможны значения: `asc`, `desc` или пользовательское направление сортировки по конкретным полям в соответствии с синтаксисом Elasticsearch. Для сортировки по конкретному полю рекомендуется также указывать параметр `"missing" : "_first"` рядом с параметром `"order"` для предотвращения ошибок в случаях, когда это поле отсутствует в каком-либо документе. Например, `"sort": { "DestinationDnsDomain.keyword": {"order": "desc", "missing" : "_first" } }`. Подробнее о сортировке см. в документации Elasticsearch. Пример запроса: `"query" : { "match_all" : {} }, "size" : 25, "sort": {"_doc" : "asc"}` Обязательный параметр. Учетные данные Elastic – секрет, в котором хранятся учетные данные для подключения к серверу Elasticsearch. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет. Elastic fingerprint – секрет, в котором хранятся секреты типа fingerprint для подключения к серверу Elasticsearch и секреты типа certificate для использования CA сертификата. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Интервал запросов, сек – интервал выполнения между запросами к серверу Elasticsearch в секундах в случае, если в предыдущем запросе отсутствовали события. Если Elasticsearch содержал события в момент выполнения запроса, коннектор будет получать события до момента, пока не будут получены все доступные события из Elasticsearch. Вы можете добавить несколько подключений к серверу Elasticsearch или удалить подключение к серверу Elasticsearch. Для добавления подключения к серверу Elasticsearch нажмите на кнопку + Добавить подключение. Для удаления подключения к серверу Elasticsearch нажмите рядом с ним на значок удаления .
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.

Коннектор, тип office365

Коннекторы с типом office365 используются для получения данных Microsoft 365 (Office 365) по API.

Доступные параметры коннектора с типом office365 описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – office365. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Типы контента Office365	Типы контента, которые вы хотите получать в KUMA. Доступны следующие типы контента с информацией о действиях и событиях в Microsoft 365, сгруппированные в зависимости от источника информации: Audit.General. Audit.AzureActiveDirectory. Audit.Exchange. Audit.Sharepoint. DLP.All. С подробной информацией о свойствах доступных типов контента и связанных с ними событиях можно ознакомиться на схеме на сайте Microsoft. Обязательный параметр. Можно выбрать один или несколько типов контента.
Идентификатор тенанта Office365	Уникальный идентификатор, получаемый после регистрации учетной записи в Microsoft 365. Если у вас его нет, обратитесь к вашему администратору или в Microsoft. Обязательный параметр.
ID клиента Office365	Уникальный идентификатор, получаемый после регистрации учетной записи в Microsoft 365. Если у вас его нет, обратитесь к вашему администратору или в Microsoft. Обязательный параметр.
Авторизация	Способ авторизации для подключения к Microsoft 365. Доступны следующие способы авторизации: PFX. Использование секрета PFX. Токен. Использование секрета token. Подробную информацию можно найти в разделе о секретах.
Учетные данные Office365	Поле становится доступно после выбора способа авторизации. Можно выбрать один из доступных секретов для авторизации или создать новый секрет выбранного типа. Обязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
Хост для аутентификации	URL, по которому будет выполняться подключение и авторизация. По умолчанию выполняется подключение по адресу https://login.microsoftonline.com.
Хост ресурса	URL, откуда будут получены события. По умолчанию применяется адрес https://manage.office.com.
Интервал ретроспективного анализа, часы	Период, за который запрашиваются все новые события, в часах. Для избежания потери некоторых событий важно задавать перекрывающиеся интервалы получения событий, так как некоторые типы контента Microsoft 365 могут передаваться с задержкой. При этом ранее полученные события не дублируются. По умолчанию запрашиваются все новые события за последние 12 часов.
Время ожидания ответа, сек	Период ожидания ответа на запрос на получение новых событий в секундах. По умолчанию время ожидания ответа составляет 30 секунд.
Интервал повтора, сек	Время, через которое необходимо повторить запрос на получение новых событий в случае ошибки, в секундах. По умолчанию запрос на получение новых событий повторяется через 10 секунд после получения ошибки или при отсутствии ответа в течение заданного времени ожидания.
Интервал очищения, сек	Периодичность удаления устаревших данных в секундах. Минимальное значение – 300 секунд. По умолчанию устаревшие данные удаляются каждые 1800 секунд.
Интервал запросов, мин	Периодичность отправки запросов на получение новых событий в минутах. По умолчанию запросы отправляются каждые 10 минут.
Прокси-сервер	Параметры прокси-сервера, если он требуется для подключения к Microsoft 365. Можно выбрать один из доступных или создать новый прокси-сервер.

Предустановленные коннекторы

В поставку KUMA включены перечисленные в таблице ниже коннекторы.

Предустановленные коннекторы

Название коннектора	Комментарий
[OOTB] Continent SQL	Собирает события из СУБД АПКШ Континент. Для использования необходимо настроить параметры соответствующего типа секрета.
[OOTB] InfoWatch Traffic Monitor SQL	Собирает события из СУБД системы InfoWatch Traffic Monitor. Для использования необходимо настроить параметры соответствующего типа секрета.
[OOTB] KSC MSSQL	Собирает события из СУБД MS SQL системы Kaspersky Security Center. Для использования необходимо настроить параметры соответствующего типа секрета.
[OOTB] KSC MySQL	Собирает события из СУБД MySQL системы Kaspersky Security Center. Для использования необходимо настроить параметры соответствующего типа секрета.
[OOTB] KSC PostgreSQL	Собирает события из СУБД PostgreSQL системы Kaspersky Security Center версии 15.0. Для использования необходимо настроить параметры соответствующего типа секрета.
[OOTB] Oracle Audit Trail SQL	Собирает события аудита из СУБД Oracle. Для использования необходимо настроить параметры соответствующего типа секрета.
[OOTB] SecretNet SQL	Собирает события из СУБД системы SecretNet SQL. Для использования необходимо настроить параметры соответствующего типа секрета.

Секреты

Секреты используются для безопасного хранения конфиденциальной информации, такой как логины и пароли, которые должны использоваться KUMA для взаимодействия с внешними службами. Если секрет хранит данные учётной записи, такие как логин и пароль, то при подключении коллектора к источнику событий учётная запись, заданная в секрете, может быть заблокирована согласно настроенной в системе-источнике событий парольной политике.

Секреты можно использовать в следующих сервисах и функциях KUMA:

Коллектор (при использовании шифрования TLS).
Коннектор (при использовании шифрования TLS).
Точки назначения (при использовании шифрования TLS или авторизации).
Прокси-серверы.

Доступные параметры:

Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
Тип (обязательно) – тип секрета.
При выборе в раскрывающемся списке типа секрета отображаются параметры для настройки выбранного типа секрета. Эти параметры описаны ниже.
Описание – вы можете добавить до 4000 символов в кодировке Unicode.

В зависимости от типа секрета доступны различные поля для заполнения. Вы можете выбрать один из следующих типов секрета:

credentials – тип секрета используется для хранения данных учетных записей, с помощью которых осуществляется подключение к внешним службам, например к SMTP-серверам. При выборе этого типа секрета требуется заполнить поля Пользователь и Пароль. При использовании в ресурсе Секрет типа credentials для подключения коллектора к источнику событий, например СУБД, учётная запись, заданная в секрете, может быть заблокирована согласно настроенной в системе-источнике событий парольной политике.
token – тип секрета используется для хранения токенов для API-запросов. Токены используются, например, при подключении к IRP-системам. При выборе этого типа секрета требуется заполнить поле Токен.
ktl – тип секрета используется для хранения данных учетной записи Kaspersky Threat Intelligence Portal. При выборе этого типа секрета требуется заполнить следующие поля:
- Пользователь и Пароль (обязательные поля) – имя пользователя и пароль вашей учетной записи Kaspersky Threat Intelligence Portal.
- Файл обмена личной информацией - PKCS (.PFX) (обязательно) – позволяет загрузить ключ сертификата Kaspersky Threat Intelligence Portal.
- Пароль PFX-файла (обязательно) – пароль для доступа к ключу сертификата Kaspersky Threat Intelligence Portal.
urls – тип секрета используется для хранения URL для подключения к базам SQL и прокси-серверам. В поле Описание требуется описать, для какого именно подключения вы используете секрет urls.
Вы можете указать URL в следующих форматах: hostname:port, IPv4:port, IPv6:port, :port.
pfx – тип секрета используется для импорта PFX-файла с сертификатами. При выборе этого типа секрета требуется заполнить следующие поля:
- Файл обмена личной информацией - PKCS (.PFX) (обязательно) – используется для загрузки PFX-файла. Файл должен содержать сертификат и ключ. В PFX-файлы можно включать сертификаты, подписанными центрами сертификации, для проверки сертификатов сервера.
  Сертификат, включенный в PFX-файл, не может быть зашифрован алгоритмом AES-128-CBC. KUMA не поддерживает такие сертификаты.
- Пароль PFX-файла (обязательно) – используется для ввода пароля для доступа к ключу сертификата.
kata/edr – тип секрета используется для хранения файла сертификата и закрытого ключа, требуемых при подключении к серверу Kaspersky Endpoint Detection and Response. При выборе этого типа секрета вам требуется загрузить следующие файлы:
- Файл сертификата – сертификат сервера KUMA.
  Файл должен иметь формат PEM. Вы можете загрузить только один файл сертификата.
- Закрытый ключ шифрования соединения – RSA-ключ сервера KUMA.
  Ключ должен быть без пароля и с заголовком PRIVATE KEY. Вы можете загрузить только один файл ключа.
  
  Вы можете сгенерировать файлы сертификата и ключа по кнопке .
snmpV1 – тип секрета используется для хранения значения Уровень доступа (например, public или private), которое требуется при взаимодействии по протоколу Simple Network Management Protocol.
snmpV3 – тип секрета используется для хранения данных, требуемых при взаимодействии по протоколу Simple Network Management Protocol. При выборе этого типа секрета требуется заполнить поля:
- Пользователь – имя пользователя, указывается без домена.
- Уровень безопасности – уровень безопасности пользователя:
  - NoAuthNoPriv – сообщения отправляются без аутентификации и без обеспечения конфиденциальности.
  - AuthNoPriv – сообщения посылаются с аутентификацией, но без обеспечения конфиденциальности.
  - AuthPriv – сообщения посылаются с аутентификацией и обеспечением конфиденциальности.
  В зависимости от выбранного уровня могут отобразиться дополнительные параметры.
- Пароль – пароль аутентификации пользователя SNMP. Это поле становится доступно при выборе уровней безопасности AuthNoPriv и AuthPriv.
- Протокол аутентификации – доступны следующие протоколы: MD5, SHA, SHA224, SHA256, SHA384, SHA512. Это поле становится доступно при выборе уровней безопасности AuthNoPriv и AuthPriv.
- Протокол шифрования – протокол, используемый для шифрования сообщений. Доступны следующие протоколы: DES, AES. Это поле становится доступно при выборе уровня безопасности AuthPriv.
- Пароль обеспечения безопасности – пароль шифрования, который был указан при создании пользователя SNMP. Это поле становится доступно при выборе уровня безопасности AuthPriv.
certificate – тип секрета используется для хранения файлов сертификатов. Файлы загружаются в ресурс с помощью кнопки Загрузить файл сертификата. Поддерживаются открытые ключи сертификата X.509 в Base64.
fingerprint – тип секрета используется для хранения значения Elastic fingerprint, которое может использоваться при подключении к серверу Elasticsearch.
PublicPKI – тип секрета используется для подключения коллектора KUMA к ClickHouse. При выборе этого варианта требуется указать секрет, содержащий закрытый ключ PEM, закодированный в base64, и открытый ключ.

Предустановленные секреты

В поставку KUMA включены перечисленные в таблице ниже секреты.

Предустановленные секреты

Название секрета	Описание
[OOTB] Continent SQL connection	Хранит конфиденциальные данные и параметры подключения к БД АПКШ Континент. Для использования необходимо указать логин и пароль БД.
[OOTB] KSC MSSQL connection	Хранит конфиденциальные данные и параметры подключения к БД MS SQL Kaspersky Security Center (KSC). Для использования необходимо указать логин и пароль БД.
[OOTB] KSC MySQL Connection	Хранит конфиденциальные данные и параметры подключения к БД MySQL Kaspersky Security Center (KSC). Для использования необходимо указать логин и пароль БД.
[OOTB] Oracle Audit Trail SQL Connection	Хранит конфиденциальные данные и параметры подключения к БД Oracle. Для использования необходимо указать логин и пароль БД.
[OOTB] SecretNet SQL connection	Хранит конфиденциальные данные и параметры подключения к БД MS SQL системы SecretNet. Для использования необходимо указать логин и пароль БД.

Параметры правил сегментации

Правила сегментации

В KUMA можно настроить правила сегментации алертов, то есть правила разделения однотипных корреляционных событий по разным алертам.

По умолчанию, если в корреляторе какое-то правило корреляции сработает несколько раз, все созданные в результате этого корреляционные события будут присоединены к одному алерту. Правила сегментации алертов дают возможность определить условия, при которых на основе таких однотипных корреляционных событий будут создаваться разные алерты. Это может пригодиться, если вы хотите разделить поток корреляционных событий, например, по количеству событий или объединить некоторых из событий, отличающиеся чем-то важным от других, в отдельный алерт.

Сегментация алертов настраивается в два этапа:

Создаются правила сегментации, в которых определяются условия, по которым будет разделяться поток корреляционных событий.
К правилам сегментации привязываются правила корреляции, в которых должны срабатывать правила сегментации.

В этом разделе

Привязка правил сегментации к правилам корреляции

Параметры правил сегментации

Правила сегментации создаются в разделе Ресурсы → Правила сегментации веб-интерфейса KUMA.

Доступные параметры:

Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
Тип (обязательно) – тип правила сегментации. Доступные значения:
- По фильтру – алерты создаются, если корреляционные события соответствуют условиям фильтра, заданным в блоке параметров Фильтр.
  С помощью кнопки Добавить условие можно добавить строку с полями для определения условия. С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия. Условия и группы можно менять местами, перетягивая их за значок , а также удалять с помощью значка .
  - Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.
    В левом операнде указываются названия полей событий, которые обрабатывает фильтр.
    
    В правом операнде можно выбрать тип значения – константа или список, – а также указать само значение.
  - Доступные операторы
    - = – левый операнд равен правому операнду.
    - < – левый операнд меньше правого операнда.
    - <= – левый операнд меньше или равен правому операнду.
    - > – левый операнд больше правого операнда.
    - >= – левый операнд больше или равен правому операнду.
    - inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
    - contains – левый операнд содержит значения правого операнда.
    - startsWith – левый операнд начинается с одного из значений правого операнда.
    - endsWith – левый операнд заканчивается одним из значений правого операнда.
    - match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
    - TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- По группирующим полям – алерт создается, если корреляционное событие содержит поля событий, указанные в блоке параметров Группирующие поля правила корреляции.
  Поля добавляются с помощью кнопки Добавить поле. Добавленные поля можно удалить, нажав на значок креста или на кнопку Сбросить.
  
  Пример использования группирующих полей
  Правило, детектирующее сканирование сети, создаст только один алерт, даже если в сети есть несколько устройств, сканирующих сеть. Если создать правило сегментации обнаружений по группирующему полю событий SourceAddress, а затем привязать это правило сегментации к правилу корреляции, при срабатывании правила будут созданы алерты для каждого адреса, с которого происходит сканирование.
  
  В этом примере, если правило корреляции называется "Network. Possible port scan", а в ресурсе правила сегментации в качестве шаблона именования обнаружений указано "from {{.SourceAddress}}", будут созданы алерты такого вида:
  - Network. Possible port scan (from 10.20.20.20 <Дата создания алерта>)
  - Network. Possible port scan (from 10.10.10.10 <Дата создания алерта>)
- По количеству событий – алерт создается, если количество корреляционных событий в предыдущем алерте превысило значение, указанное в поле Количество корреляционных событий.
Шаблон именование алертов (обязательно) – шаблон, по которому будут получать название алерты, создаваемые по этому правилу сегментации. Значение по умолчанию: {{.Timestamp}}.
В поле шаблона можно указывать текст, а также поля события в формате {{.<название поля события>}}. При формировании названия алерта вместо названия поля события будет подставляться содержащееся в нем значение.

Название алерта, созданного с помощью правил сегментации, имеет следующий формат: <Название правила корреляции, создавшего алерт> (<текст из поля шаблона именования алертов> <дата создания алерта>).
Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Привязка правил сегментации к правилам корреляции

Связи правила сегментации и правил корреляции создаются отдельно для каждого тенанта. Они отображаются в разделе Параметры → Алерты → Сегментация веб-интерфейса KUMA в таблице со следующими столбцами:

Тенант – название тенанта, которому принадлежат правила сегментации.
Обновлено – дата и время последнего обновления правил сегментации.
Выключено – в этом столбце отображается метка, если правила сегментации выключены.

Чтобы привязать правило сегментации алерта к правилам корреляции:

Откройте раздел Параметры → Алерты → Сегментация веб-интерфейса KUMA.
Выберите тенант, для которого вы хотите создать правило сегментации:
- Если у тенанта уже есть правила сегментации, выберите его в таблице.
- Если у тенанта нет правил сегментации, нажмите Добавить параметры для нового тенанта и в раскрывающемся списке Тенант выберите нужный тенант.
Отображается таблица с созданными связями правил сегментации и корреляции.
В блоке параметров Связи правил сегментации нажмите Добавить и укажите параметры правила сегментации:
- Название (обязательно) – в этом поле укажите название правила сегментации. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенанты и правила корреляции (обязательно) – в этом раскрывающемся списке выберите тенант и принадлежащее ему правило корреляции, события которого вы хотите выделить в отдельный алерт. Можно выбрать более одного правила корреляции.
- Правило сегментации (обязательно) – в этом блоке параметров требуется выбрать ранее созданное правило сегментации, в котором определены условия сегментации.
- Выключено – установите этот флажок при необходимости выключить связь правила сегментации.
Нажмите Сохранить.

Правило сегментации и правила корреляции связаны. Корреляционные события, создаваемые указанными правилами корреляции, будут объединены в отдельный алерт с названием, определенном в правиле сегментации.

Чтобы выключить связи правил сегментации и правил корреляции для тенанта:

Откройте раздел Параметры → Алерты веб-интерфейса KUMA и выберите тенант, правила сегментации которого вы хотите выключить.
Установите флажок Выключено.
Нажмите Сохранить.

Связи правил сегментации и правил корреляции для выбранного тенанта выключены.

Просмотр списка контекстных таблиц

Контекстные таблицы

Контекстная таблица – это контейнер для массива данных, которые используются корреляторами KUMA при анализе событий по правилам корреляции. Вы можете создать контекстные таблицы в разделе Ресурсы. Данные контекстной таблицы хранятся только в корреляторе, в который она была добавлена с помощью фильтров или действий в корреляционных правилах.

Вы можете наполнять контекстные таблицы автоматически с помощью корреляционных правил типа simple и operational или импортировать файл с данными для контекстной таблицы.

Вы можете добавлять, копировать и удалять контекстные таблицы, а также изменять их настройки.

Контекстные таблицы можно использовать в следующих сервисах и функциях KUMA:

Правила корреляции.
Панель мониторинга.

Одна и та же контекстная таблицы может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность контекстной таблицы. Таким образом, содержимое контекстных таблиц, используемых разными корреляторами, различается, даже если идентификатор и название контекстных таблиц одинаковые.

В контекстную таблицу добавляются данные только по правилам корреляции, добавленным в коррелятор.

Вы можете добавлять, изменять, удалять, импортировать и экспортировать записи в контекстной таблице коррелятора.

При удалении записей из контекстных таблиц по истечении срока жизни записи в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Служебные события отправляются на обработку правилами корреляции того коррелятора, где работает контекстная таблица. Правила корреляции можно настроить на отслеживание этих событий, чтобы с их помощью обрабатывать события и распознавать угрозы.

Поля служебных событий удаления записи из контекстной таблицы описаны ниже.

Поле события	Значение или комментарий
`ID`	Идентификатор события.
`Timestamp`	Время удаления записи, срок жизни которой истек.
`Name`	`"context table record expired"`
`DeviceVendor`	`"Kaspersky"`
`DeviceProduct`	`"KUMA"`
`ServiceID`	Идентификатор коррелятора.
`ServiceName`	Название коррелятора.
`DeviceExternalID`	Идентификатор контекстной таблицы.
`DevicePayloadID`	Ключ записи, срок жизни которой истек.
`BaseEventCount`	Увеличенное на единицу количество обновлений удаленной записи.
`FileName`	Имя контекстной таблицы.
`S.<поле контекстной таблицы>` `SA.<поле контекстной таблицы>` `N.<поле контекстной таблицы>` `NA.<поле контекстной таблицы>` `F.<поле контекстной таблицы>` `FA.<поле контекстной таблицы>`	В зависимости от типа выпавшей записи в контекстной таблице, выпавшая запись контекстной таблицы будет записана в соответствующий тип события: например, S.<поле контекстной таблицы> = <значение контекстной таблицы> SA.<поле контекстной таблицы> = <массив значений контекстной таблицы> Записи контекстной таблицы типа boolean имеют следующий вид: S.<поле контекстной таблицы> = true/false SA.<поле контекстной таблицы> = false,true,false

В этом разделе

Добавление контекстной таблицы

Просмотр параметров контекстной таблицы

Изменение параметров контекстной таблицы

Дублирование параметров контекстной таблицы

Удаление контекстной таблицы

Просмотр записей контекстной таблицы

Поиск записей в контекстной таблице

Добавление записи в контекстную таблицу

Изменение записи в контекстной таблице

Удаление записи из контекстной таблицы

Импорт данных в контекстную таблицу

Экспорт данных из контекстной таблицы

Просмотр списка контекстных таблиц

Чтобы просмотреть список контекстных таблиц коррелятора:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
В контекстном меню коррелятора, для которого вы хотите просмотреть контекстные таблицы, выберите пункт Смотреть контекстные таблицы.

Отобразится список Контекстные таблицы коррелятора.

Таблица содержит следующие данные:

Название – имя контекстной таблицы.
Размер на диске – размер контекстной таблицы.
Директория – путь к контекстной таблице на сервере коррелятора KUMA.

Возможные типы данных поля

Добавление контекстной таблицы

Чтобы добавить контекстную таблицу:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Ресурсы нажмите на кнопку Контекстные таблицы.
В окне Контекстные таблицы нажмите на кнопку Добавить.
Откроется окно Создание контекстной таблицы.
В поле Название введите имя контекстной таблицы.
В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
В поле Срок жизни укажите время, в течение которого в контекстной таблице будет храниться добавленная в него запись.
По истечении указанного времени запись удаляется. Время указывается в секундах. Максимальное значение – 31536000 (1 год).

Значение по умолчанию: 0. Если в поле указано значение 0, время хранения записи неограниченно.
В поле Описание введите любую дополнительную информацию.
Вы можете использовать до 4000 символов в кодировке Unicode.

Поле необязательно для заполнения.

В разделе Схема укажите состав полей контекстной таблицы и тип данных полей.

В зависимости от типа данных поле может быть или не быть ключевым. Хотя бы одно поле таблицы должно быть ключевым.Имена у всех полей должны быть уникальными.

Для добавления строки таблицы нажмите на кнопку Добавить и заполните поля таблицы:

В поле Название введите название поля. Максимальная длина – 128 символов.

В раскрывающемся списке Тип выберите тип данных поля.

Возможные типы данных поля контекстной таблицы

Тип данных поля	Может быть ключевым полем	Комментарий
Целое число	Да
Число с плавающей точкой	Да
Строка	Да
Логический тип	Да
Временная метка	Да	Для поля этого типа проверяется, что значение поля больше или равно нулю. Другие операции не предусмотрены.
IP-адрес	Да	Для поля этого типа проверяется, что значение поля соответствует формату IPv4, IPv6. Другие операции не предусмотрены.
Список целых чисел	Нет
Список чисел с плавающей точкой	Нет
Список строк	Нет
Список логических типов	Нет
Список временных меток	Нет	Для поля этого типа проверяется, что каждый элемент списка больше или равен нулю. Другие операции не предусмотрены.
Список IP-адресов	Нет	Для поля этого типа проверяется, что каждый элемент списка соответствует формату IPv4, IPv6. Другие операции не предусмотрены.

Если вы хотите сделать поле ключевым, установите флажок Ключевое поле.
В таблице может быть несколько ключевых полей. Ключевые поля задаются при создании контекстной таблицы, уникально идентифицируют запись таблицы и не могут изменяться.

Если ключевых полей в контекстной таблице несколько, каждая запись таблицы уникально идентифицируется несколькими полями (составной ключ).

Добавьте нужное количество строк контекстной таблицы.
После сохранения контекстной таблицы схему поменять нельзя.
Нажмите на кнопку Сохранить.

Контекстная таблица будет добавлена.

Просмотр параметров контекстной таблицы

Чтобы просмотреть параметры контекстной таблицы:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Ресурсы нажмите на кнопку Контекстные таблицы.
В окне Контекстные таблицы в списке выберите контекстную таблицу, параметры которой вы хотите просмотреть.

Откроется окно с параметрами контекстной таблицы. В нем отображается следующая информация:

Название – уникальное имя ресурса.
Тенант – название тенанта, которому принадлежит ресурс.
Срок жизни – время, в течение которого в контекстной таблице будет храниться добавленная в нее запись. Указывается в секундах.
Описание – любая дополнительная информация о ресурсе.
Схема – упорядоченный список полей и их типов данных с отметкой ключевых полей.

Изменение параметров контекстной таблицы

Чтобы изменить параметры контекстной таблицы:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Ресурсы нажмите на кнопку Контекстные таблицы.
В окне Контекстные таблицы в списке выберите контекстную таблицу, параметры которой вы хотите изменить.
Укажите значения для следующих параметров:
- Название – уникальное имя ресурса.
- Срок жизни – время, в течение которого в контекстной таблице будет храниться добавленная в нее запись. Указывается в секундах.
- Описание – любая дополнительная информация о ресурсе.
- Схема – упорядоченный список полей и их типов данных с отметкой ключевых полей. Если контекстная таблица не используется в корреляционном правиле, вы можете поменять состав полей.
  Если вы хотите изменить схему в контекстной таблице, которая уже используется в корреляционном правиле, выполните шаги инструкции ниже.
Поле Тенант недоступно для редактирования.
Нажмите Сохранить.

Чтобы изменить параметры контекстной таблицы, ранее используемой коррелятором:

Выполните экспорт данных из таблицы.
Скопируйте и сохраните путь к файлу с данными таблицы на диске коррелятора. Путь указан в столбце Директория в окне Контекстные таблицы коррелятора. Этот путь понадобится вам в дальнейшем для удаления файла с диска коррелятора.
Удалите из коррелятора контекстную таблицу.
Измените необходимые параметры контекстной таблицы.
Удалите файл с данными таблицы на диске коррелятора по пути из шага 2.
Чтобы применить изменения (удаление таблицы), обновите параметры коррелятора: в разделе Ресурсы → Активные сервисы в списке сервисов установите флажок рядом с нужным коррелятором и нажмите Обновить параметры.
Добавьте в коррелятор контекстную таблицу, в которой вы изменили параметры.
Чтобы применить изменения (добавление таблицы), обновите параметры коррелятора: в разделе Ресурсы → Активные сервисы в списке сервисов установите флажок рядом с нужным коррелятором и нажмите Обновить параметры.
Адаптируйте в экспортированной таблице (см. шаг 1) поля, чтобы они соответствовали полям таблицы, которую вы загрузили в коррелятор на шаге 7.
Импортируйте адаптированные данные в контекстную таблицу.

Параметры контекстной таблицы изменены.

Дублирование параметров контекстной таблицы

Чтобы скопировать контекстную таблицу:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Ресурсы нажмите на кнопку Контекстные таблицы.
Установите флажок рядом с контекстной таблицей, которую вы хотите копировать.
Нажмите на кнопку Дублировать.
Укажите нужные вам параметры.
Нажмите на кнопку Сохранить.

Контекстная таблица будет скопирована.

Удаление контекстной таблицы

Вы можете удалить только те контекстные таблицы, которые не используются ни в одном в корреляторе.

Чтобы удалить контекстную таблицу:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Ресурсы нажмите на кнопку Контекстные таблицы.
Установите флажки рядом с контекстными таблицами, которые вы хотите удалить.
Если вы хотите удалить все контекстные таблицы, установите флажок рядом со столбцом Название.

Должен быть установлен хотя бы один флажок.
Нажмите на кнопку Удалить.
Нажмите на кнопку ОК.

Контекстные таблицы будут удалены.

Просмотр записей контекстной таблицы

Чтобы просмотреть список записей контекстной таблицы:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
В контекстном меню коррелятора, контекстную таблицу которого вы хотите просмотреть, выберите пункт Смотреть контекстные таблицы.
Откроется окно Контекстные таблицы коррелятора.
В столбце Название выберите нужную контекстную таблицу.

Откроется список записей для выбранной контекстной таблицы.

Список содержит следующие данные:

Ключ – композитный ключ записи. Формируется из одного и более значений ключевых полей, разделенных символом "|". Если одно из значений ключевого поля отсутствует, то разделяющий символ все равно отображается.
Например, ключ записи состоит из трех полей: DestinationAddress, DestinationPort, SourceUserName. При отсутствии значений в последних двух полях ключ записи будет отображаться следующим образом: 43.65.76.98| | .
Повторы записи – общее количество упоминаний записи в событиях и загрузок идентичных записей при импорте контекстных таблиц в KUMA.
Срок действия – дата и время, когда запись должна быть удалена.
Если при создании контекстной таблицы в поле Срок жизни было указано значение 0, записи этой контекстной таблицы хранятся 36000 дней (около 100 лет).
Обновлено – дата и время обновления контекстной таблицы.

Поиск записей в контекстной таблице

Чтобы найти запись в контекстной таблице:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
В контекстном меню коррелятора, в контекстную таблицу которого вы хотите найти запись, выберите пункт Смотреть контекстные таблицы.
Откроется окно Контекстные таблицы коррелятора.
В столбце Название выберите нужную вам контекстную таблицу.
Откроется окно со списком записей для выбранной контекстной таблицы.
В поле Поиск введите значение ключа записи или несколько знаков из ее ключа.

В списке записей контекстной таблицы отобразятся только те записи, в ключе которых есть введенные символы.

Если под условие вашего поискового запроса попадают записи с пустыми значениями в ключе, в разделе Панель мониторинга на виджете отобразится текст <По вашему запросу ничего не найдено>. Мы рекомендуем уточнить условия поискового запроса.

Список значений полей по умолчанию

Добавление записи в контекстную таблицу

Чтобы добавить запись в контекстную таблицу:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
В контекстном меню коррелятора, в контекстную таблицу которого вы хотите добавить запись, выберите пункт Смотреть контекстные таблицы.
Откроется окно Контекстные таблицы коррелятора.
В столбце Название выберите нужную контекстную таблицу.
Откроется список записей для выбранной контекстной таблицы.
Нажмите на кнопку Добавить.
Откроется окно Создать запись.

В поле Значение укажите значения для полей в столбце Поле.

KUMA берет названия полей из корреляционных правил, к которым привязана контекстная таблица. Эти названия недоступны для редактирования. Состав полей изменить невозможно.

Если вы укажете не все значения полей, отсутствующие поля, включая ключевые, будут заполнены значениями по умолчанию. Из итоговой совокупности полей будет сформирован ключ записи, и запись будет добавлена в таблицу. Если такой ключ в таблице уже существует, отобразится ошибка.

Тип поля	Значение по умолчанию
Целое число	0
Число с плавающей точкой	0.0
Строка	""
Логический тип	false
IP-адрес	"0.0.0.0"
Временная метка	0
Список целых чисел	[]
Список чисел с плавающей точкой	[]
Список строк	[]
Список логических типов	[]
Список временных меток	[]
Список IP-адресов	[]

Нажмите на кнопку Сохранить.

Запись будет добавлена.

Изменение записи в контекстной таблице

Чтобы изменить запись в контекстной таблице:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
В контекстном меню коррелятора, контекстную таблицу которого вы хотите изменить, выберите пункт Смотреть контекстные таблицы.
Откроется окно Контекстные таблицы коррелятора.
В столбце Название выберите нужную контекстную таблицу.
Откроется список записей для выбранной контекстной таблицы.
Нажмите на строку записи, которую вы хотите изменить.
Укажите требуемые значения в столбце Значение.
Нажмите на кнопку Сохранить.

Запись будет изменена.

Ограничения, действующие при редактировании записи:

Значение ключевого поля записи недоступно для редактирования. Вы можете изменить его с помощью операций экспорта и импорта записи.
Редактирование названий полей в столбце Поле недоступно.
Значения в столбце Значение должны соответствовать следующим требованиям:
- больше или равно 0 для полей типов Временная метка и Список временных меток;
- соответствует формату IPv4 или IPv6 для полей типов IP-адрес и Список IP-адресов;
- равно true или false для поля типа Логический тип.

Удаление записи из контекстной таблицы

Чтобы удалить записи из контекстной таблицы:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
В контекстном меню коррелятора, из контекстной таблицы которого вы хотите удалить запись, выберите пункт Смотреть контекстные таблицы.
Откроется окно Контекстные таблицы коррелятора.
В столбце Название выберите нужную контекстную таблицу.
Откроется список записей для выбранной контекстной таблицы.
Установите флажки для записей, которые вы хотите удалить.
Если вы хотите удалить все записи, установите флажок рядом с названием столбца Ключ.

Должен быть установлен хотя бы один флажок.
Нажмите на кнопку Удалить.
Нажмите на кнопку OK.

Записи будут удалены.

Импорт данных в контекстную таблицу

Чтобы импортировать данные в контекстную таблицу:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
В контекстном меню коррелятора, в контекстную таблицу которого вы хотите импортировать данные, выберите пункт Смотреть контекстные таблицы.
Откроется окно Контекстные таблицы коррелятора.
Установите флажок рядом с нужной контекстной таблицей и нажмите на кнопку Импортировать.
Откроется окно импорта данных в контекстную таблицу.
Нажмите Добавить и выберите файл, который требуется импортировать.
В раскрывающемся списке Формат выберите формат файла:
- csv.
- tsv.
- internal.
Нажмите на кнопку Импортировать.

Данные из файла будут импортированы в контекстную таблицу. Записи, внесенные в контекстную таблицу ранее, сохраняются.

При импорте KUMA проверяет уникальность ключа каждой записи. Если запись уже существует, то в её поля записываются новые значения, полученные слиянием прежних значений со значениями полей импортируемой записи.

Если записи в контекстной таблице не существовало, то создается новая запись.

Экспорт данных из контекстной таблицы

Чтобы экспортировать данные из контекстной таблицы:

В веб-интерфейсе KUMA выберите раздел Ресурсы.
В разделе Сервисы нажмите на кнопку Активные сервисы.
В контекстном меню коррелятора, контекстную таблицу которого вы хотите экспортировать, выберите пункт Смотреть контекстные таблицы.
Откроется окно Контекстные таблицы коррелятора.
Установите флажок рядом с нужной контекстной таблицей и нажмите на кнопку Экспортировать.

Контекстная таблица будет загружена на ваш компьютер в формате JSON. Название загруженного файла соответствует названию контекстной таблицы. Порядок полей в файле не определен.