Kaspersky Symphony XDR: Open Single Management Platform
1.2

Содержание

[Topic 264183]

Гранулярный доступ к событиям

В KUMA есть возможность обеспечить гранулярный доступ к событиям для пользователей с разными правами. Доступ к событиям регулируется на уровне пространств хранилища.

Вы можете назначить пользователям пространства в разделе Разрешения для пространств или прямо в карточке пользователя. После обновления до версии 3.4 всем существующим пользователям будет назначен набор пространств All spaces, то есть доступны все пространства без ограничений. Событие содержит идентификатор тенанта и пространства, поэтому пользователь должен обладать правами на соответствующий тенант и пространство, чтобы событие было доступно.
Следует учитывать следующие особенности отображения хранилищ:

  • Если хранилища нет в разделе Активные сервисы, то хранилище и его пространства не отображаются в списке пространств набора.
  • Если сервис хранилища был остановлен с помощью команды systemctl stop kuma-<идентификатор хранилища>, то хранилище и его пространства не отображаются в списке пространств набора.
  • Если хранилище было запущено и далее удалено с помощью команды uninstall, то хранилище и его пространства продолжают отображаться в списке пространств набора.

В списке событий вы можете добавить в таблицу отображение поля SpaceID, в нем будет отображаться наименование пространства. Пространство событий аудита отображается как KUMA Audit. KUMA Default - пространство внутри каждого хранилища, куда передаются все события, если в хранилище отсутствуют настроенные пространства или если событие не попадает под условия наполнения существующих пространств.

При экспорте списка событий в файл TSV для пространств отображаются идентификатор и наименование пространства.

Чтобы разграничить доступ:

  1. Назначьте пользователям соответствующие роли.
  2. Настройте наборы пространств.

    Вы можете создать, отредактировать, удалить набор пространств. По результатам этих действий формируются события аудита.

  3. Регулируйте права доступа к набору пространств: можно выдать или отозвать права доступа для выбранных пользователей.

Создание набора пространств

Чтобы создать набор пространств:

  1. В Консоли KUMA перейдите в раздел ПараметрыРазрешения для пространств
  2. В открывшемся окне Разрешения для пространств нажмите на кнопку Добавить.
  3. В открывшемся окне Создание набора пространств укажите значения для следующих параметров:
    1. В поле Название укажите название набора пространств. Допустимо использовать до 128 символов в кодировке Unicode.
    2. В раскрывающемся списке Пространства выберите пространства, которые вы хотите включить в набор, установив флажок рядом с названием пространства. Чтобы удалить пространство из набора, снимите флажок.
    3. Если вы хотите, чтобы набор пространств по умолчанию был доступен всем пользователям, которым не назначен ни один из наборов, установите флажок Установить по умолчанию.

      После создания набор будет использоваться в качестве набора про умолчанию. В списке наборов пространств он будет отмечен как набор по умолчанию: в столбце По умолчанию будет указано значение Да.

      Набор по умолчанию может быть только один. Если вы установите флажок Установить по умолчанию в параметрах другого набора и сохраните параметры, произойдет переназначение.

  4. Нажмите Создать.

Набор пространств создан и отображается в списке пространств. После создания набора пространств в KUMA формируется событие аудита.

Теперь необходимо выдать пользователям права доступа к созданному набору пространств.

Редактирование набора пространств

Чтобы редактировать набор пространств:

  1. В Консоли KUMA перейдите в раздел ПараметрыРазрешения для пространств
  2. В открывшемся окне Разрешения для пространств нажмите на нужный набор пространств.
  3. В открывшемся окне Редактирование набора пространств укажите значения для следующих параметров:
    1. В поле Название укажите название набора пространств. Допустимо использовать до 128 символов в кодировке Unicode.
    2. В раскрывающемся списке Пространства выберите пространства, которые вы хотите включить в набор, установив флажок рядом с названием пространства. Чтобы убрать пространство из набора, снимите флажок.
    3. Если вы хотите, чтобы набор пространств по умолчанию был доступен всем пользователям, которым не назначен ни один из наборов, установите флажок Установить по умолчанию.

      После сохранения параметров набор будет использоваться в качестве набора про умолчанию. В списке наборов пространств он будет отмечен как набор по умолчанию: в столбце По умолчанию будет указано значение Да.

      Набор по умолчанию может быть только один. Если вы установите флажок Установить по умолчанию в параметрах другого набора и сохраните параметры, произойдет переназначение.

  4. Нажмите Сохранить.

Набор пространств сохранен и отображается в списке пространств.

Измененный набор пространств доступен всем пользователям, которым был выдан доступ к первоначальному набору пространств. Вы можете регулировать доступ к отредактированному набору пространств и выдать или отозвать права доступа с помощью кнопки Управление доступом.

Удаление набора пространств

Чтобы удалить набор пространств:

  1. В Консоли KUMA перейдите в раздел ПараметрыРазрешения для пространств.
  2. В открывшемся окне Разрешения для пространств установите флажок рядом с нужным набором пространств.

    Если вы хотите удалить все наборы пространств, установите флажок Выбрать все в левой верхней части списка и нажмите Удалить. Набор по умолчанию All spaces не подлежит удалению.

  3. Нажмите Удалить.

Набор пространств удален и больше не отображается в списке пространств. После удаления набора пространств в KUMA формируется событие аудита.

Если у пользователей был доступ только к удаленному набору пространств и доступа к другим наборам нет, таким пользователям будут автоматически выданы права доступа к набору по умолчанию.

Выдать права доступа к набору пространств

Чтобы выдать права доступа к набору пространств:

  1. В Консоли KUMA перейдите в раздел ПараметрыРазрешения для пространств.
  2. Выберите набор пространств в списке, установив рядом флажок, и нажмите на кнопку Управление доступом на панели инструментов.
  3. В открывшемся окне Пользователи нажмите Добавить пользователей.
  4. В открывшемся окне Добавить пользователей выберите в списке пользователей, которым вы хотите выдать доступ к набору пространств, и нажмите Добавить.

    Если вы хотите выдать права доступа к выбранному набору пространств всем пользователям, нажмите на флажок в левом верхнем углу и выберите один из вариантов: Выбрать все на странице или Выбрать все и нажмите Добавить.

    Отобразится окно подтверждения действий.

  5. Если вы хотите выдать права указанным пользователям, в окне подтверждения действий нажмите Выдать.

Указанным пользователям выданы права доступа к набору пространств.

Отозвать права доступа к набору пространств

Чтобы отозвать права доступа к набору пространств:

  1. В Консоли KUMA перейдите в раздел ПараметрыРазрешения для пространств.
  2. Выберите набор пространств в списке, установив рядом флажок, и нажмите на кнопку Управление доступом на панели инструментов.
  3. В открывшемся окне Пользователи выберите нужных пользователей, установив рядом флажок и нажмите Удалить.

    Если вы хотите отозвать права доступа к выбранному набору пространств всем пользователям в списке, нажмите на флажок в левом верхнем углу и выберите один из вариантов: Выбрать все на странице или Выбрать все и нажмите Удалить.

    Отобразится окно подтверждения действий.

  4. Если вы хотите отозвать права для указанных пользователей, в окне подтверждения действий нажмите Отозвать.

Для указанных пользователей отозваны права доступа к набору пространств.

Если у пользователей нет прав доступа к другим наборам пространств, им будут автоматически выданы права доступа к набору по умолчанию.

Сценарии применения

Переход на версию KUMA 3.4 с возможностью разграничения доступа к событиям

Цель: Обновить версию продукта.

Действие: Администратор обновляет версию KUMA до версии 3.4.

Результат: Доступность событий для пользователей не меняется, всем пользователям доступны события в тех тенантах, где у пользователей есть разрешение на просмотр списка событий. При добавлении новых пользователей, тенантов или пространств все пользователи видят события тенантов в соответствии с разрешениями на просмотр списка событий без дополнительных ограничений.

Ограничение доступа к пространствам для всех пользователей

Цель: В установке есть пространства, доступ к которым должны иметь не все пользователи. Требуется добиться, чтобы текущие и новые пользователи не имели доступа к таким пространствам.

Действие: Администратор создает новый набор пространств, включающий в себя те пространства, к которым доступ должен быть у всех пользователей. Каждое пространство задается как кортеж: clusterID, tenantID, spaceID. Таким образом можно собрать из конечного числа пространств набор пространств. После создания набора администратор устанавливает этот набор как набор по умолчанию.

Результат: Для всех пользователей, у которых явно не указан набор пространств, в том числе для новых пользователей, доступ к событиям дополнительно ограничивается в соответствии с набором пространств по умолчанию. То есть им доступны события в тенантах, где у пользователей есть право на просмотр списка событий, и находящиеся в пространствах, указанных в наборе по умолчанию. 

Разрешение на просмотр всех событий для некоторых пользователей

Цель: В KUMA установлен набор по умолчанию, явно указывающий только конечное число пространств. Также в KUMA есть пользователи, которые должны иметь доступ ко всем событиям без ограничений. Требуется дать возможность этим пользователям просматривать события из пространств, не указанных в наборе по умолчанию.

Действие: Администратор переходит в раздел Разрешения для пространств и выбирает набор All spaces, дающий доступ ко всем пространствам без ограничений, и выдает доступ к этому набору выбранным пользователям.

Результат: Пользователи, которым явно был выдан доступ к набору All spaces, теперь не ограничены в доступе к событиям по пространствам. Их доступ к событиям регулируется только правом на просмотр списка событий в соответствии с назначенной ролью. При добавлении новых пространств или тенантов у этих пользователей будет доступ к находящимися в них событиях при условии права на просмотр списка событий в соответствующем тенанте. У пользователей, которым явно не выдан доступ к набору All spaces, доступ к событиям будет ограничиваться в соответствии с набором пространств по умолчанию.

Разрешение на просмотр событий из конечного множества пространств для некоторых пользователей

Цель: В KUMA установлен набор по умолчанию, явно указывающий только конечное число пространств. Некоторым пользователям требуется видеть другой набор пространств, но не все доступные пространства.

Действие: Администратор создает набор пространств, включающий в себя необходимые пространства, и выдает доступ к этому набору выбранным пользователям.

Результат: Доступ пользователей к событиям ограничивается в соответствии с доступным набором пространств. У пользователей, которым явно не выдан доступ к набору, доступ к событиям будет ограничиваться в соответствии с набором пространств по умолчанию.

Дополнение явно указанного набора пространств у пользователя

Цель: Пользователям u1, u2, u3, u4 явно выдан доступ к набору пространств set1, включающий в себя пространства, в которые попадают события Windows и Linux. Пользователям u1 и u2 дополнительно к событиям Windows и Linux требуется просматривать события Cisco и VMware, которые попадают в соответствующие пространства.

Действие: Администратор создает набор пространств set2, включающий в себя пространства, в которые попадают события Cisco и VMware. Администратор назначает пользователям u1 и u2 набор set2 в дополнение к набору set1.

Результат: Пользователям u1 и u2 теперь доступны события из пространств всех доступных им наборов, то есть события из наборов set1 и set2 – Windows, Linux, Cisco, VMware. Доступ пользователей u3 и u4 к событиям не поменялся.

Изменение набора пространств

Цель: Некоторым пользователям доступен набор пространств (доступ выдан явно или набор является набором по умолчанию). Для всех этих пользователей требуется добавить доступ к определенному пространству, которого нет в наборе, или отозвать доступ к пространству из набора.

Действие: Администратор редактирует существующий набор пространств, добавляя или удаляя из него нужные пространства.

Результат: Все пользователи, которым был выдан доступ к набору, теперь могут просматривать события в соответствии с обновленным набором пространств.

Удаление набора пространств

Цель: Набор пространств перестал быть актуален, его требуется удалить из KUMA.

Действие: Администратор удаляет существующий набор пространств. Набор All spaces не подлежит удалению. Набор пространств, являющийся набором по умолчанию, не подлежит удалению.

Результат: Удаленного набора пространств больше нет в KUMA. Все пользователи, которым явно был выдан доступ к этому набору пространств, теперь имеют доступ к событиям в соответствии с оставшимися доступными наборами пространств. Если у пользователя не осталось наборов пространств, к которым явно был выдан доступ, для такого пользователя доступ к событиям регулируется в соответствии с набором по умолчанию.

В начало
[Topic 294299]

Просмотр таблицы событий

В таблице событий представлен обзор всех событий, полученных Ядром KUMA из источников данных. В таблице отображается список событий, отфильтрованных по выполненному SQL-запросу.

Чтобы просмотреть таблицу событий:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты Поиск угроз.
  2. При необходимости отфильтруйте тенанты. По умолчанию фильтр тенантов выключен и в таблице событий отображаются события, относящиеся ко всем тенантам, к которым у вас есть права доступа на Чтение. Чтобы применить фильтр для тенантов:
    1. Перейдите по ссылке рядом с параметром Фильтр тенантов.

      Откроется список тенантов.

    2. Установите флажки рядом с требуемыми тенантами.

      В таблице событий отображаются только события, относящиеся к выбранным тенантам.

Отобразится таблица событий. Дополнительные сведения о столбцах таблицы см. в модели данных нормализованного события.

См. также:

Об алертах

Просмотр деталей алерта

Назначение алертов аналитикам

Изменение статуса алерта

Связь алертов с инцидентами

Удаление связи алертов с инцидентами
В начало
[Topic 267834]

Поиск и фильтрация событий

Для поиска и фильтрации событий измените SQL-запрос в поле поиска и нажмите на кнопку Выполнить запрос. Вы можете ввести SQL-запрос вручную или сгенерировать его с помощью конструктора запросов.

В SQL-запросах поддерживается агрегирование и группировка данных.

Вы можете добавить условия фильтрации к уже сформированному SQL-запросу в окне просмотра статистики, в таблице событий и в области сведений о событии.

Чтобы изменить параметры фильтрации из окна Статистика:

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Откройте область деталей Статистика одним из следующих способов:
    • В правом верхнем углу таблицы событий нажмите на кнопку Многоточие. и в выберите Статистика.
    • В таблице событий нажмите на любое значение, а затем в открывшемся контекстном меню выберите пункт Статистика.

    В правой части окна откроется область деталей Статистика.

  3. Откройте раскрывающийся список необходимого параметра и наведите курсор мыши на требуемое значение.
  4. Измените параметры фильтрации, выполнив одно из следующих действий:
    • Чтобы включить только события с выбранным значением, нажмите на кнопку Знак плюса..
    • Чтобы исключить все события с выбранным значением, нажмите на кнопку Знак минуса..

Чтобы изменить параметры фильтрации в таблице событий:

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Нажмите на значение параметра события в таблице событий.
  3. В открывшемся меню выберите следующие параметры:
    • Чтобы оставить в таблице только события с выбранным значением, выберите Искать события с этим значением.
    • Чтобы исключить из таблицы все события с выбранным значением, выберите Искать события без этого значения.

Чтобы изменить параметры фильтрации в области сведений о событий:

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Нажмите на соответствующее событие, чтобы открыть панель сведений о событии.
  3. Измените параметры фильтрации, выполнив одно из следующих действий:
    • Чтобы включить только события с выбранным значением, нажмите на кнопку Знак плюса..
    • Чтобы исключить все события с выбранным значением, нажмите на кнопку Знак минуса..

В результате параметры фильтрации и таблица событий обновятся, а новый поисковый запрос отобразится в верхней части экрана.

Когда вы переключаетесь на конструктор запросов, параметры запроса, введенного вручную в поле поиска, не передаются в конструктор, поэтому вам нужно будет создать запрос заново. Запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строку поиска, пока вы не нажмете на кнопку Применить в окне конструктора.

Нажмите на кнопку Значок Сохранить, чтобы сохранить текущий фильтр.

В начало
[Topic 264184]

Создание SQL-запросов вручную

С помощью строки поиска вы можете вручную создавать SQL-запросы любой сложности для фильтрации событий.

Выполнение SQL-запроса влияет на отображаемые столбцы таблицы.

Если SQL-запрос содержит значение *, указанные в запросе столбцы добавляются в таблицу, если они отсутствовали. Удаление отображаемого столбца из последующих запросов не скрывает соответствующий столбец.

Если SQL-запрос не содержит значения *, в таблице отображаются только столбцы для указанных полей, которые соответствуют нормализованной модели данных событий. Столбцы отображаются, даже если для них нет данных.

Чтобы сформировать SQL-запрос вручную:

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Введите SQL-запрос в поле ввода.
  3. Нажмите на кнопку Применить запрос.

    Отобразится таблица событий, соответствующих условиям вашего запроса. При необходимости вы можете отфильтровать события по периоду.

Чтобы отобразить непечатаемые символы в поле запроса SQL, нажмите любую из следующих комбинаций клавиш:

  • Ctrl+*/Command+*
  • Ctrl+Shift+8/Command+Shift+8

Если вы включите отображение непечатаемых символов в компоненте XDR, другие компоненты (такие как KUMA) не будут автоматически отображать непечатаемые символы, пока вы не перезагрузите вкладки браузера компонентов.

Поддерживаемые функции и операторы

SELECT

Поля событий, которые следует возвращать.

Для SELECT в приложении поддержаны следующие функции и операторы:

Функции агрегации: count, avg, max, min, sum.

Арифметические операторы: +, -, *, /, <, >, =, !=, >=, <=.

Вы можете комбинировать эти функции и операторы.

Если вы используете в запросе функции агрегации, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, а также получение статистики недоступны.

FROM

Источник данных.

WHERE

Условия фильтрации событий.

  • AND, OR, NOT, =, !=, >, >=, <, <=
  • IN
  • BETWEEN
  • LIKE
  • ILIKE
  • inSubnet
  • match (в запросах используется синтаксис регулярных выражений re2, специальные символы необходимо дополнительно экранировать с помощью обратной косой черты "\")

GROUP BY

Поля событий или псевдонимы, по которым следует группировать возвращаемые данные.

Если вы используете в запросе группировку данных, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, получение статистики, а также ретроспективное сканирование недоступны.

ORDER BY

Столбцы, по которым следует сортировать возвращаемые данные.

Возможные значения:

  • DESC – по убыванию.
  • ASC – по возрастанию.

OFFSET

Пропуск указанного количества строк перед выводом результатов запроса.

LIMIT

Количество отображаемых в таблице строк.

По умолчанию указано значение 250.

При переключении на конструктор параметры запроса, введенного вручную в строке поиска, не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строку поиска, пока вы не нажмете на кнопку Применить в окне конструктора.

Используемые в поисковых запросах псевдонимы не должны содержать пробелов.

Примеры запросов:

  • SELECT * FROM `events` WHERE Type IN ('Base', 'Audit') ORDER BY Timestamp DESC LIMIT 250

    Все события таблицы events с типом Base и Audit, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

  • SELECT * FROM `events` WHERE BytesIn BETWEEN 1000 AND 2000 ORDER BY Timestamp ASC LIMIT 250

    Все события таблицы events, для которых в поле BytesIn значение полученного трафика находится в диапазоне от 1000 до 2000 байт, отсортированные по столбцу Timestamp в порядке возрастания. Количество отображаемых в таблице строк – 250.

  • SELECT * FROM `events` WHERE Message LIKE '%ssh:%' ORDER BY Timestamp DESC LIMIT 250

    Все события таблицы events, которые в поле Message содержат данные, соответствующие заданному шаблону %ssh:% в нижнем регистре, и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

  • SELECT * FROM `events` WHERE inSubnet(DeviceAddress, '00.0.0.0/00') ORDER BY Timestamp DESC LIMIT 250

    Все события таблицы events для устройств, которые входят в подсеть 00.0.0.0/00, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

  • SELECT * FROM `events` WHERE match(Message, 'ssh.*') ORDER BY Timestamp DESC LIMIT 250

    Все события таблицы events, которые в поле Message содержат текст, соответствующий шаблону ssh.*, и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

  • SELECT max(BytesOut) / 1024 FROM `events`

    Максимальный размер исходящего трафика (КБ) за выбранный период времени.

  • SELECT count(ID) AS "Count", SourcePort AS "Port" FROM `events` GROUP BY SourcePort ORDER BY Port ASC LIMIT 250

    Количество событий и номер порта. События сгруппированы по номеру порта и отсортированы по столбцу Port в порядке возрастания. Количество отображаемых в таблице строк – 250.

    Столбцу ID в таблице событий присвоено имя Count, столбцу SourcePort присвоено имя Port.

  • SELECT * FROM `events` WHERE match(Message, 'ssh:\'connection.*') ORDER BY Timestamp DESC LIMIT 250

    Если вы хотите указать в запросе специальный символ, вам требуется экранировать его, поместив перед ним обратную косую черту (\).

    Все события таблицы events, которые в поле Message содержат текст, соответствующий шаблону ssh: 'connection', и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

В начало
[Topic 264300]

Формирование SQL-запроса с помощью конструктора

Вы можете сформировать SQL-запрос для фильтрации событий с помощью конструктора запросов.

Выполнение SQL-запроса влияет на отображаемые столбцы таблицы.

Если SQL-запрос содержит значение *, указанные в запросе столбцы добавляются в таблицу, если они отсутствовали. Удаление отображаемого столбца из последующих запросов не скрывает соответствующий столбец.

Если SQL-запрос не содержит значения *, в таблице отображаются только столбцы для указанных полей, которые соответствуют нормализованной модели данных событий. Столбцы отображаются, даже если для них нет данных.

Чтобы сформировать SQL-запрос с помощью конструктора:

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Нажмите на кнопку query builder, чтобы открыть конструктор запросов.

    Сформулируйте поисковый запрос, указав данные в следующих блоках параметров:

    • SELECT

      Поля событий, которые следует возвращать. По умолчанию выбрано значение *, означающее, что необходимо возвращать все доступные поля события. Чтобы настроить отображаемые поля, выберите нужные поля в раскрывающемся списке. Стоит учитывать, что Select * в запросе увеличивает длительность выполнения запроса, но избавляет от необходимости указывать поля в запросе.

      Выбрав поле события, вы можете в поле справа от раскрывающегося списка указать псевдоним для столбца выводимых данных, а в крайнем правом раскрывающемся списке можно выбрать операцию, которую следует произвести над данными: count, max, min, avg, sum.

    • FROM

      Источник данных. Выберите значение events.

    • WHERE

      Условия фильтрации событий.

      Чтобы добавить условия и группы, нажмите на кнопки Добавить условие и Добавить группу. Значение оператора AND выбирается по умолчанию в группе условий. Нажмите на значение оператора, чтобы изменить его. Доступные значения: AND, OR, NOT.

      Чтобы изменить структуру условий и групп условий, используйте значок Значок перетаскивания. для перетаскивания выражений.

      Чтобы добавить условия фильтрации:

      1. В раскрывающемся списке слева выберите поле события, которое вы хотите использовать для фильтрации.
      2. В среднем раскрывающемся списке выберите нужный оператор. Доступные операторы зависят от типа значения выбранного поля события.
      3. Введите значение условия. В зависимости от выбранного типа поля может потребоваться ввести значение вручную, выбрав его из раскрывающегося списка или в календаре.

      Чтобы удалить условия фильтрации, нажмите на кнопку X. Чтобы удалить условия группы, нажмите на кнопку Удалить группу.

    • GROUP BY

      Поля событий или псевдонимы, по которым следует группировать возвращаемые данные.

      Если вы используете в запросе группировку данных, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, получение статистики, а также ретроспективное сканирование недоступны.

    • ORDER BY

      Столбцы, по которым следует сортировать возвращаемые данные. В раскрывающемся списке справа можно выбрать порядок: DESC – по убыванию, ASC – по возрастанию.

    • LIMIT

      Количество отображаемых в таблице строк.

      По умолчанию указано значение 250.

      Если при фильтрации событий по периоду, указанному пользователем, количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.

  3. Нажмите на кнопку Применить.

    Текущий SQL-запрос будет перезаписан. Сгенерированный SQL-запрос отображается в поле поиска.

    Чтобы сбросить параметры конструктора, нажмите на кнопку Запрос по умолчанию.

    Чтобы закрыть конструктор, не перезаписывая существующий запрос, нажмите на кнопку query builder.

  4. Нажмите на кнопку Применить запрос, чтобы отобразить данные в таблице.

    В таблице отображаются результаты поиска по сформированному SQL-запросу.

При переходе в другой раздел веб-интерфейса сформированный в конструкторе запрос не сохраняется. Если вы повторно вернетесь в раздел События, в конструкторе будет отображаться запрос по умолчанию.

В начало
[Topic 264286]

Просмотр сведений о событии

Чтобы открыть сведения о событии, выберите событие в таблице событий в разделе Поиск угроз или на странице деталей алерта.

Панель Информация о событии отображается в правой части окна веб-интерфейса и содержит список параметров события со значениями. В этой области вы можете:

  • Включить выбранное поле в поиск или исключить его из поиска, нажав на Знак плюса. или на Знак минуса. рядом со значением параметра.
  • Найти похожие события и добавить или удалить правило запрета, нажав на значения FileHash и DeviceCustomString.
  • При интеграции с Kaspersky CyberTrace и Kaspersky Threat Intelligence Portal вы можете добавить в пользовательские сведения о киберугрозах CyberTrace и отобразить информацию из Threat Lookup, нажав на значения FileHash и DeviceCustomString.
  • Просмотрите параметры службы, зарегистрировавшей событие, нажав на значение Служба.

В панели Информация о событии вместо идентификатора отображается имя описываемого объекта в значениях следующих параметров. Если вы измените параметры фильтра в панели Информация о событии, в SQL-запрос будет добавлен идентификатор объекта, а не его имя:

  • TenantID
  • SeriviceID
  • DeviceAssetID
  • SourceAssetID
  • DestinationAssetID
  • SourceAccountID
  • DestinationAccountID
В начало
[Topic 265046]

Сохранение и выбор конфигурации фильтра событий

Вы можете сохранить текущую конфигурацию фильтра, включая временной фильтр, конструктор запросов и параметры таблицы событий, для использования в будущем. Сохраненные конфигурации фильтров доступны вам и другим пользователям, имеющим соответствующие права доступа.

Чтобы сохранить текущие параметры фильтра, запроса и периода

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Нажмите на кнопку Значок Сохранить. рядом с поисковым запросом и выберите пункт Сохранить текущий фильтр.
  3. В открывшемся окне Новый фильтр введите название конфигурации фильтра в поле Имя. Имя должно содержать не более 128 символов Юникода.
  4. В раскрывающемся списке Тенант выберите тенант, для которого нужно сохранить созданный фильтр.
  5. Нажмите на кнопку Сохранить.

    Конфигурация фильтра сохранена.

Чтобы выбрать ранее сохраненную конфигурацию фильтра

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Нажмите на кнопку Значок Сохранить. рядом с поисковым запросом и выберите нужный фильтр.

Чтобы сохранить текущие параметры фильтра, запроса и параметры таблицы событий

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Нажмите на значок шестеренки в панели над таблицей событий.
  3. Нажмите на пункт Сохранить текущий пресет.
  4. В открывшемся окне Новый пресет введите название пресета в поле Имя. Имя должно содержать не более 128 символов Юникода.
  5. В раскрывающемся списке Тенант выберите тенант, для которого нужно сохранить созданный пресет.
  6. Нажмите на кнопку Сохранить.

    Конфигурация пресета сохранена.

Чтобы выбрать ранее сохраненную конфигурацию пресета

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Нажмите на значок шестеренки в панели над таблицей событий. Выберите вкладку Пресеты.
  3. Выберите необходимый пресет.

Чтобы удалить ранее сохраненную конфигурацию фильтра для всех пользователей

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Нажмите на значок Значок Сохранить. рядом с поисковым запросом.
  3. Нажмите на значок Кнопка Удалить. рядом с конфигурацией, которую нужно удалить.
  4. Нажмите на кнопку ОК.

В начало
[Topic 264652]

Фильтрация событий по периоду

Вы можете указать период для отображения событий.

Чтобы отфильтровать события по периоду:

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Откройте второй раскрывающийся список в верхней части окна.
  3. Укажите период. Вы можете выбрать предопределенные периоды относительно текущей даты и времени или указать необходимый период, используя поля Начало периода и Конец периода или выбрав даты в календаре.
  4. Нажмите на кнопку Применить.

В начало
[Topic 264596]

Экспорт событий

Вы можете экспортировать информацию о событиях в файл TSV. Выборка событий, которые будут экспортированы в файл TSV, зависит от параметров фильтра. Информация экспортируется из столбцов, которые отображаются в таблице событий. Столбцы в экспортируемом файле заполняются доступными данными, даже если они не отображались в таблице событий в разделе Поиск угроз из-за особенностей SQL-запроса.

Чтобы экспортировать информацию о событиях:

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. В правом верхнем углу таблицы событий нажмите на кнопку Многоточие. и в раскрывающемся списке выберите Экспортировать в CSV.

    Новая задача экспорта файла TSV создана в разделе KUMA Управление задачами.

  3. Войдите в Консоль KUMA и найдите созданную вами задачу в разделе Управление задачами.
  4. Нажмите на название типа задачи и выберите в раскрывающемся списке пункт Загрузить.

    Файл TSV будет загружен с использованием параметров вашего браузера. По умолчанию имя файла event-export-<date>_<time>.tsv.

Файл сохранен в соответствии с параметрами вашего браузера.

В начало
[Topic 264876]