Kaspersky Symphony XDR: Open Single Management Platform
1.2

Содержание

Панель мониторинга

В разделе Панель мониторинга вы можете контролировать состояние безопасности сети вашей организации.

Панель мониторинга представляет собой набор веб-виджетов, которые отображают аналитику данных безопасности сети. Вы можете просмотреть данные только по тем тенантам, к которым вы имеете доступ.

Набор веб-виджетов, используемых на панели мониторинга, называется макетом. Вы можете создавать макеты вручную или воспользоваться преднастроенными макетами. Параметры веб-виджетов в преднастроенных макетах можно редактировать при необходимости. По умолчанию на панели мониторинга отображается преднастроенный макет Alerts Overview.

Создавать, редактировать и удалять макеты могут только пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня и Аналитик первого уровня. Пользователи с учетными записями всех ролей могут просматривать макеты и назначать макеты по умолчанию. Если макет назначен по умолчанию, этот макет отображается для учетной записи при каждом переходе в раздел Панель мониторинга. Выбранный макет по умолчанию сохраняется для текущей учетной записи пользователя.

Информация на панели мониторинга обновляется в соответствии с расписанием, заданным в параметрах макета. При необходимости вы можете обновить данные принудительно.

Для удобства представления данных на панели мониторинга вы можете включить режим ТВ. В этом случае вы перейдете в режим полноэкранного просмотра панели мониторинга в FullHD-разрешении. В режиме ТВ вы также можете настроить показ слайд-шоу для выбранных макетов.

В этом разделе

Создание макета панели мониторинга

Выбор макета панели мониторинга

Выбор макета панели мониторинга в качестве макета по умолчанию

Редактирование макета панели мониторинга

Удаление макета панели мониторинга

Включение и отключение режима ТВ

Предустановленные макеты панели мониторинга
В начало
[Topic 217827]

Создание макета панели мониторинга

Развернуть все | Свернуть все

Чтобы создать макет:

  1. Откройте веб-интерфейс Open Single Management Platform и выберите раздел Панель мониторинга.
  2. Откройте раскрывающийся список в правом верхнем углу окна Панель мониторинга и выберите Создать макет.

    Откроется окно Новый макет.

  3. В раскрывающемся списке Тенанты выберите тенантов, которым будет принадлежать создаваемый макет и данными из которых будут наполняться веб-виджеты макета.

    Выбор тенантов в этом раскрывающемся списке не имеет значения, если вы хотите создать универсальный макет (см. ниже).

  4. В раскрывающемся списке Период выберите период, по которому требуется аналитика, одним из следующих способов:
    • Если вы хотите указать точную дату, в календаре слева выберите даты начала и окончания периода и нажмите на кнопку Применить.

      Вы можете выбрать дату до текущей включительно. Формат даты и времени зависит от параметров вашего браузера. Если в поле Дата от или Дата до есть значение и вы не меняли вручную значение времени, при выборе даты в календаре в поле Дата от автоматически подставится время 00:00:00.000, а в поле Дата до – 23:59:59.999. Если вы вручную удалили значение в поле Дата от или Дата до, при выборе даты в календаре в поле автоматически подставится текущее время. После того как вы выберите значение в одном из полей, фокус переключается на другое поле. Если в поле Дата до вы выбираете значение, которое меньше значения в поле Дата от, это меньшее значение будет автоматически подставлено в поле Дата от.

    • Если вы хотите указать относительный период, выберите один из доступных периодов в списке Относительный период справа.

      Период рассчитывается относительно настоящего времени.

    • Если вы хотите задать пользовательский период, укажите или измените значение вручную в полях Дата от и Дата до.

      Вы можете указать точные дату и время в формате DD.MM.YYYY HH:mm:ss.SSS для русской локализации и YYYY-MM-DD HH:mm:ss.SSS для английской локализации или период относительно текущего времени в виде формулы. При необходимости вы также можете комбинировать эти способы. Если при вводе точной даты вы не указали миллисекунды, значение 000 подставляется автоматически. Если вы вручную изменили время в полях Дата от или Дата до, при переключении даты в календаре значение времени не меняется.

      В формулах относительного периода используйте параметр now для обозначения текущих даты и времени и язык параметризации интервалов: символы + (только в поле Дата до), -, / (округление до ближайшего), а также единицы изменения времени y (год), M (месяц), w (неделя), d (день), h (час), m (минута), s (секунда). Например, вы можете указать период now-5d, чтобы получить данные за последние пять дней, или now/w, чтобы получить данные с начала первого дня текущей недели (00:00:00:000 в UTC) до текущего времени now.

      Поле Дата от является обязательным, и его значение не может превышать значение, установленное в поле Дата до, а также не может быть меньше 01.01.1970 (при указании точной даты или относительного периода). Значение в поле Дата до не должно быть меньше значения, установленного в поле Дата от. Если вы не укажете значение в поле Дата до, параметр now указывается автоматически.

    По умолчанию выбран относительный период 1 день (now-1d). Границы периода включаются: например, для периода Сегодня отобразятся события с начала сегодняшнего дня 00:00:00:000 в UTC до текущего времени now включительно, а для периода Вчера – с начала вчерашнего дня 00:00:00:000 до 00:00:00:000 сегодняшнего дня в UTC.

    Время в KUMA хранится в UTC, но в интерфейсе оно конвертируется в соответствии с часовым поясом вашего браузера. Это нужно учитывать для относительных периодов Сегодня, Вчера, Эта неделя и Этот месяц. Например, если в браузере установлен часовой пояс UTC+3 и вы выбрали период отображения данных Сегодня, данные будут отображаться за период с 03:00:00.000 до текущего времени, а не с 00:00:00.000.

    Если при выборе относительного периода Сегодня, Вчера, Эта неделя или Этот месяц вы хотите отобразить данные в соответствии с вашим часовым поясом, вам нужно вручную добавить сдвиг по времени в поля Дата от и Дата до (если указано значение кроме now), прибавив или убавив необходимое количество часов. Например, если в браузере установлен часовой пояс UTC+3 и вы хотите отобразить данные за период Вчера, вам нужно изменить значение в поле Дата от на now-1d/d-3h, а в поле Дата до – на now/d-3h. Если же вы хотите отобразить данные за период Сегодня, вам нужно изменить значение только в поле Дата от на now/d-3h.

    Если вам нужны результаты до 23:59:59:999 в UTC вчерашнего дня, то используйте SQL-запрос с фильтром по Timestamp или укажите точные дату и время.

  5. В раскрывающемся списке Обновлять каждые выберите частоту обновления данных в веб-виджетах макета:
    • никогда – не обновлять данные в веб-виджетах макета.
    • 1 минута.
    • 5 минут.
    • 15 минут.
    • 1 час (это значение выбрано по умолчанию).
    • 3 часа.
    • 6 часов.
    • 12 часов.
    • 24 часа.
  6. В раскрывающемся списке Добавить веб-виджет выберите требуемый веб-виджет и настройте его параметры. Вы можете добавить несколько веб-виджетов. Веб-виджеты можно перетаскивать по окну и изменять их размер с помощью кнопки DashboardResize, которая появляется при наведении указателя мыши на веб-виджет.

    Для веб-виджетов с типами графиков Круговая диаграмма, Столбчатая диаграмма, Линейная диаграмма, Счетчик и Календарная диаграмма существуют следующие ограничения:

    • В запросах SELECT можно использовать поля расширенной схемы событий с типами "Строка", "Число" и "Число с плавающей точкой".
    • В запросах WHERE можно использовать поля расширенной схемы событий со всеми типами ("Строка", "Число", "Число с плавающей точкой", "Массив строк", "Массив чисел" и "Массив чисел с плавающей точкой").

    Для веб-виджетов с типом графика Таблица в запросах SELECT можно использовать поля расширенной схемы событий со всеми типами ("Строка", "Число", "Число с плавающей точкой", "Массив строк", "Массив чисел" и "Массив чисел с плавающей точкой").

    Вы можете выполнять следующие действия с веб-виджетами:

    • Добавлять веб-виджеты.

      Чтобы добавить веб-виджет:

      1. В раскрывающемся списке Добавить веб-виджет выберите нужный веб-виджет.

        Откроется окно с параметрами веб-виджета. Вы можете увидеть, как будет выглядеть веб-виджет, нажав на кнопку Предварительный просмотр.

      2. Настройте параметры веб-виджета и нажмите на кнопку Добавить.
    • Редактировать веб-виджеты.

      Чтобы изменить веб-виджет:

      1. Наведите указатель мыши на нужный веб-виджет и нажмите на появляющийся значок gear.
      2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами веб-виджета. Вы можете увидеть, как будет выглядеть веб-виджет, нажав на кнопку Предварительный просмотр.

      3. Измените параметры веб-виджета и нажмите Сохранить.

    Вы можете редактировать и удалять добавленные веб-виджеты, наведя на них курсор мыши, нажав появившийся значок gear, после чего выбрав Изменить или Удалить.

  7. В поле Название макета введите уникальное имя макета. Должно содержать от 1 до 128 символов в кодировке Unicode.
  8. При необходимости нажмите на значок gear справа от поля названия макета и установите флажки напротив дополнительных параметров макета:
    • Универсальный – если вы установите этот флажок, в веб-виджетах макета будут отображаться данные из тенантов, которых вы выберите в разделе Выбрано тенантов, расположенном в меню слева. Это означает, что данные в веб-виджетах макета будут меняться в зависимости от выбранных вами тенантов, при этом вам не придется редактировать параметры макета. Для универсальных макетов тенанты, выбранные в раскрывающемся списке Тенанты, не учитываются.

      Если флажок не установить, в веб-виджетах макета будут отображаться данные из тенантов, выбранных в раскрывающемся списке Тенанты в параметрах макета. Если какие-либо из выбранных в макете тенантов вам недоступны, их данные не будут отображаться в веб-виджетах макета.

      В универсальных макетах невозможно использовать веб-виджет активные листы и контекстные таблицы.

      Универсальные макеты могут создавать и редактировать только главные администраторы. Просматривать такие макеты могут все пользователи.

    • Отображать данные по КИИ – если вы установите этот флажок, в веб-виджетах макета будут в том числе отображаться данные об активах, алертах и инцидентах, имеющих отношение к критической информационной инфраструктуре (КИИ). При этом такие макеты будут доступы для просмотра только пользователям, в параметрах которых установлен флажок Доступ к объектам КИИ.

      Если флажок не установить, в веб-виджетах макета не будут отображаться данные об активах, алертах и инцидентах, относящихся к КИИ, даже если у пользователя есть доступ к объектам КИИ.

  9. Нажмите Сохранить.

Новый макет создан и отображается в разделе Панель мониторинга веб-интерфейса Open Single Management Platform.

В начало
[Topic 252198]

Выбор макета панели мониторинга

Чтобы выбрать макет панели мониторинга:

  1. Раскройте список в верхнем правом углу окна Панель мониторинга.
  2. Выберите нужный макет.

Выбранный макет отобразится в разделе Панель мониторинга веб-интерфейса KUMA.

В начало
[Topic 217992]

Выбор макета панели мониторинга в качестве макета по умолчанию

Чтобы выбрать макет, который будет отображаться на панели мониторинга по умолчанию:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. Раскройте список в верхнем правом углу окна Панель мониторинга.
  3. Наведите указатель мыши на требуемый макет.
  4. Нажмите на значок StarOffIcon.

Выбранный макет будет отображаться на панели мониторинга по умолчанию.

В начало
[Topic 217993]

Редактирование макета панели мониторинга

Чтобы отредактировать макет панели мониторинга:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. Раскройте список в верхнем правом углу окна.
  3. Наведите указатель мыши на требуемый макет.
  4. Нажмите на значок EditResource.

    Откроется окно Настройка макета.

  5. Внесите необходимые изменения. Параметры, доступные для изменения, аналогичны параметрам, доступным при создании макета.
  6. Нажмите на кнопку Сохранить.

Макет панели мониторинга будет изменен и отобразится в разделе Панель мониторинга веб-интерфейса KUMA.

Если макет был удален или присвоен другому тенанту, пока вы вносили в него изменения, при нажатии на кнопку Сохранить отобразится ошибка. Макет не будет сохранен. Обновите страницу веб-интерфейса KUMA, чтобы в раскрывающемся списке просмотреть перечень доступных макетов.

В начало
[Topic 217855]

Удаление макета панели мониторинга

Чтобы удалить макет:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. Раскройте список в верхнем правом углу окна.
  3. Наведите указатель мыши на требуемый макет.
  4. Нажмите на значок delete-icon и подтвердите действие.

Макет будет удален.

В начало
[Topic 217835]

Включение и отключение режима ТВ

Рекомендуется для отображения аналитики в режиме ТВ создать отдельного пользователя с минимально необходимым набором прав.

Чтобы включить режим ТВ:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. В правом верхнем углу нажмите на кнопку GearGrey.

    Откроется окно Параметры.

  3. Переведите переключатель Режим ТВ в положение Включено.
  4. Если вы хотите настроить показ макетов в режиме слайд-шоу, выполните следующие действия:
    1. Переведите переключатель Слайд-шоу в положение Включено.
    2. В поле Время ожидания укажите, через сколько секунд должно происходить переключение макетов.
    3. В раскрывающемся списке Очередь выберите макеты для просмотра. Если не выбран ни один макет, в режиме слайд-шоу будут по очереди отображаться все макеты, доступные пользователю.
    4. Если требуется, измените порядок показа макетов, перетаскивая их с помощью кнопки DragIcon.
  5. Нажмите на кнопку Сохранить.

Режим ТВ будет включен. Чтобы вернуться к работе с веб-интерфейсом KUMA, нужно отключить режим ТВ.

Чтобы отключить режим ТВ:

  1. Откройте веб-интерфейс KUMA и выберите раздел Панель мониторинга.
  2. В правом верхнем углу нажмите на кнопку GearGrey.

    Откроется окно Параметры.

  3. Переведите переключатель Режим ТВ в положение Выключено.
  4. Нажмите на кнопку Сохранить.

Режим ТВ будет отключен. В левой части экрана отобразится панель с разделами веб-интерфейса KUMA.

При внесении изменений в макеты, выбранные для слайд-шоу, эти изменения будут автоматически отображаться в активных сессиях слайд-шоу.

В начало
[Topic 230361]

Предустановленные макеты панели мониторинга

KUMA поставляется с набором предустановленных макетов. По умолчанию для предустановленных макетов указан период обновления Никогда. Вы можете редактировать эти макеты при необходимости.

Предустановленные макеты

Название макета

Описание веб-виджетов в составе макета

Alerts Overview (Обзор алертов)
  • Active alerts (Активные алерты) – количество незакрытых алертов.
  • Unassigned alerts (Неназначенные алерты) – количество алертов со статусом Новый.
  • Latest alerts (Последние алерты) – таблица с информацией о последних 10 незакрытых алертах, принадлежащих выбранным в макете тенантам.
  • Alerts distribution (Распределение алертов) – количество алертов, созданных в течение указанного для веб-виджета периода.
  • Alerts by priority (Алерты по уровню важности) – количество незакрытых алертов, сгруппированных по уровню важности.
  • Alerts by assignee (Алерты по исполнителю) – количество алертов со статусом Назначен. Сгруппированы по имени учетной записи.
  • Alerts by status (Алерты по статусу) – количество алертов, имеющих статус Новый, Открыт, Назначен или Эскалирован. Сгруппированы по статусу.
  • Affected users in alerts (Затронутые пользователи) – количество пользователей, связанных с алертами, имеющими статус Новый, Назначен или Эскалирован. Сгруппированы по имени учетной записи.
  • Affected assets (Затронутые активы) – таблица с информацией об уровне важности активов и количестве незакрытых алертов, с которыми они связаны.
  • Affected assets categories (Затронутые категории активов) – категории активов, привязанных к незакрытым алертам.
  • Top event source by alerts number (Топ источников событий по количеству алертов) – количество алертов со статусом Новый, Назначен или Эскалирован, сгруппированных по источнику алерта (поле события DeviceProduct). На веб-виджете отображается не более 10 источников событий.
  • Alerts by rule (Количество алертов по правилу) – количество алертов со статусом Новый, Назначен или Эскалирован, сгруппированных по правилам корреляции.

Incidents Overview (Обзор инцидентов)
  • Active incidents (Активные инциденты) – количество незакрытых инцидентов.
  • Unassigned Incidents (Неназначенные инциденты) – количество инцидентов со статусом Открыт.
  • Latest Incidents (Последние инциденты) – таблица с информацией о последних 10 незакрытых инцидентах, принадлежащих выбранным в макете тенантам.
  • Incidents distribution (Распределение инцидентов) – количество инцидентов, созданных в течение указанного для веб-виджета периода.
  • Incidents by priority (Инциденты по уровню важности) – количество незакрытых инцидентов, сгруппированных по уровню важности.
  • Incidents by assignee (Инциденты по исполнителю) – количество инцидентов со статусом Назначен. Сгруппированы по имени учетной записи пользователя.
  • Incidents by status (Инциденты по статусам) – количество инцидентов, сгруппированных по статусу.
  • Affected assets in incidents (Активы в инцидентах) – количество активов, связанных с незакрытыми инцидентами.
  • Affected users in incidents (Пользователи в инцидентах) – пользователи, связанные с инцидентами.
  • Affected asset categories in incidents (Категории активов в инцидентах) – категории активов, связанных с незакрытыми инцидентами.
  • Active incidents by tenant (Инциденты по тенантам) – количество инцидентов всех статусов, сгруппированных по тенантам.

Network Overview (Обзор сетевой активности)
  • Netflow top internal IPs (Топ внутренних IP-адресов по полученному netflow-трафику) – суммарный размер полученного активом netflow-трафика в байтах. Данные сгруппированы по внутренним IP-адресам активов.
  • На веб-виджете отображается не более 10 IP-адресов.
  • Netflow top external IPs (Топ внешних IP-адресов по полученному netflow-трафику) – суммарный размер полученного активом netflow-трафика в байтах. Данные сгруппированы по внешним IP-адресам активов.
  • Netflow top hosts for remote control (Топ активов, на которые были обращения на порты для удаленного управления) – количество событий, связанных с обращением на один из следующих портов: 3389, 22, 135. Данные сгруппированы по именам активов.
  • Netflow total bytes by internal ports (Топ внутренних портов по приему netflow-трафика) – количество байт, переданное на внутренние порты активов. Данные сгруппированы по номерам портов.
  • Top Log Sources by Events count (Топ источников событий) – 10 источников, от которых было получено наибольшее количество событий.

[OOTB] KATA & EDR
  • KATA. Top-10 detections by type – визуализирует 10 самых распространенных типов событий, выявленных системой KATA.
  • KATA. Top-10 detections by file type – визуализирует 10 самых распространенных типов файлов, выявленных системой KATA.
  • KATA. Top-10 user names in detections – визуализирует 10 самых распространенных имен пользователей, выявленных системой KATA.
  • KATA. Top-10 IDS detections – визуализирует 10 самых распространенных угроз, выявленных модулем IDS системы KATA.
  • KATA. Top-10 URL detections – визуализирует 10 самых распространенных подозрительных URL-адресов, выявленных системой KATA.
  • KATA. Top-10 AV detections – визуализирует 10 самых распространенных угроз, выявленных модулем антивируса системы KATA.
  • EDR. Top-10 MITRE technique detections – визуализирует 10 самых распространенных техник матрицы MITRE ATT&CK, выявленных системой EDR.
  • EDR. Top-10 MITRE tactic detections – визуализирует 10 самых распространенных тактик матрицы MITRE ATT&CK, выявленных системой EDR.

[OOTB] KSC
  • KSC. Top-10 users with the most KAV alerts – визуализирует 10 самых распространенных имен пользователей, присутствующих в событиях, связанных с выявлением вредоносного программного обеспечения, сведения о которых содержатся в системе KSС.
  • KSC. Top-10 most common threats – визуализирует 10 самых распространенных типов вредоносного программного обеспечения, сведения о которых содержатся в системе KSС.
  • KSC. Number of devices that received AV database updates – визуализирует количество устройств, на которых были установлены обновления антивирусных баз данных, сведения о которых содержатся в системе KSС.
  • KSC. Number of devices on which the virus was found – визуализирует количество устройств, на которых было выявлено вредоносное программное обеспечение, сведения о которых содержатся в системе KSС.
  • KSC. Malware detections by hour – визуализирует распределение по часам количества вредоносного программного обеспечения, сведения о которых содержатся в системе KSС.

[OOTB] KSMG
  • KSMG. Top-10 senders of blocked emails – визуализирует 10 самых распространенных отправителей писем, заблокированных системой KSMG.
  • KSMG. Top-10 events by action – визуализирует 10 самых распространенных действий, выполненных системой KSMG.
  • KSMG. Top-10 events by outcome – визуализирует 10 самых распространенных результатов действий, выполненных системой KSMG.
  • KSMG. Blocked emails by hour – визуализирует распределение по часам количества писем, заблокированных системой KSMG.

 

[OOTB] KWTS
  • KWTS. Top-10 IP addresses with the most blocked web traffic – визуализирует 10 самых распространенных IP-адресов, трафик с которых был заблокирован системой KWTS.
  • KWTS. Top-10 IP addresses with the most allowed web traffic – визуализирует 10 самых распространенных IP-адресов, трафик с которых был разрешен системой KWTS.
  • KWTS. Top 10 requests by client application – визуализирует 10 самых распространенных приложений, использовавшихся для доступа к сетевым ресурсам, выявленных системой KWTS.
  • KWTS. Top-10 blocked URLs – визуализирует 10 самых распространенных URL-адресов, трафик с которых был разрешен системой KWTS.
  • KWTS. System action types – визуализирует 10 самых распространенных действий, выполненных системой KWTS.
  • KWTS. Top-10 users with the most allowed web traffic – визуализирует 10 самых распространенных имен пользователей, трафик которых был разрешен системой KWTS.

[OOTB] KSMG files and hashes*
  • KSMG. Top-5 blocked hashes – визуализирует 5 самых распространенных хешей файлов в письмах, заблокированных системой KSMG.
  • KSMG. Top-5 net-transferred hashes – визуализирует 5 самых распространенных "чистых" хешей файлов в письмах, отслеженных системой KSMG.
  • KSMG. Top-5 clean file names – визуализирует 5 самых распространенных "чистых" имен файлов в письмах, отслеженных системой KSMG.
  • KSMG. Top-5 blocked files – визуализирует 5 самых распространенных имен файлов в письмах, заблокированных системой KSMG.

[OOTB] KSMG rules and URLs*
  • KSMG. Top-5 rules – визуализирует 5 самых распространенных сработанных правил системы KSMG.
  • KSMG. Top-5 URLs – визуализирует 5 самых распространенных доменов из ссылок в письмах, отслеженных системой KSMG.

[OOTB] KSMG results*
  • KSMG. All results in the last 24 hours – визуализирует распределение по часам действий, выполненных системой KSMG за сутки.
  • KSMG. Top-5 results – визуализирует 5 самых распространенных действий, выполненных системой KSMG.

[OOTB] KSMG e-mail subjects and accounts*
  • KSMG. Top-5 e-mail subjects – визуализирует 5 самых распространенных тем писем, отслеженных системой KSMG.
  • KSMG. Top-5 source accounts – визуализирует 5 самых распространенных аккаунтов отправителей писем, отслеженных системой KSMG.
  • KSMG. Top-5 destination accounts – визуализирует 5 самых распространенных аккаунтов получателей писем, отслеженных системой KSMG.

*Панели мониторинга доступны начиная с KUMA 3.4.1. Виджеты будут корректно отображать информацию при использовании нормализатора [OOTB] KSMG 2.1+ syslog CEF.

В начало
[Topic 222445]