Параметр
|
Описание
|
Размер буфера
|
Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
|
Интервал очистки буфера
|
Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию – 1 секунда.
|
Размер дискового буфера
|
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
|
Обработчики
|
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.
Допускается указать целое положительное число не больше 999.
|
Выходной формат
|
Формат, в котором события отправляются во внешний источник:
- JSON.
- CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
|
Режим TLS
|
Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:
- Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
- Включено – использовать шифрование TLS, но без верификации сертификатов.
- С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке приложения и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
Устаревший режим шифрования, не рекомендуется к использованию. Будет исключен в следующих релизах KUMA. - Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать секрет. Для создания нового секрета выберите значение Создать.
Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша  . Как создать сертификат, подписанный центром сертификации? Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):
- Создать ключ, который будет использоваться центром сертификации.
Пример команды: openssl genrsa -out ca.key 2048
- Создать сертификат для только что созданного ключа.
Пример команды: openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя устройства центра сертификации>" -out ca.crt
- Создать приватный ключ и запрос на его подписание в центре сертификации.
Пример команды: openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя устройства сервера KUMA>" -out server.csr
- Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.
Пример команды: openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
- Полученный сертификат
server.crt следует загрузить в Консоль KUMA в секрет типа certificate, который затем нужно выбрать в раскрывающемся списке Нестандартный CA.
Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку x509: certificate signed by unknown authority.
|
Разделитель
|
Символ, определяющий границу между событиями:
Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
|
Дисковый буфер
|
Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен.
Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
|
Время ожидания
|
Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
|
Отладка
|
Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
|
Фильтр
|
Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать фильтр. Для создания нового фильтра выберите значение Создать.
Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша .
Как создать фильтр?
- В раскрывающемся списке Фильтр выберите Создать.
- Если хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.
В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. - Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
- В блоке параметров Условия задайте условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.
В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи. - В раскрывающемся списке оператор выберите нужный вам оператор.
Операторы фильтров - = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False. - hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. - inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence. То есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.
Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. - Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
- Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.
Параметры вложенного фильтра можно просмотреть, нажав на кнопку  .
|
.
.