Kaspersky Symphony XDR: Open Single Management Platform
1.2

Содержание

Правила сбора и анализа данных

Правила сбора и анализа данных используются для обнаружения инцидентов путем анализа событий, сохраненных в базе данных KUMA.

В отличие от потоковой корреляции и запуска ретроспективного сканирования, правила сбора и анализа данных предусматривают предварительную обработку данных с помощью SQL-запросов (в том числе выполнение дополнительных вычислений, группировку и агрегацию через SQL) и регулярный запуск по расписанию. При наличии правильно настроенных правил сбора и анализа данных, SIEM может помочь вам обнаружить сложные атаки.

Для работы с разделом вам необходимо иметь одну из следующих ролей: Главный администратор, Администратор тенанта, Аналитик первого уровня, Аналитик второго уровня.

При создании и изменении правил сбора и анализа данных требуется задать значения для параметров, указанных в таблице ниже.

Доступные параметры правила сбора и анализа данных

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Если у вас есть доступ только к одному тенанту, поле заполняется автоматически. Если у вас есть доступ к нескольким тенантам, подставляется название первого тенанта из списка доступных вам тенантов. Вы можете выбрать любой тенант из этого списка.

Sql

Обязательный параметр.

SQL-запрос должен содержать функцию агрегации c ограничением LIMIT и/или группировку данных c ограничением LIMIT.

Значение LIMIT должно быть от 1 до 10 000.

Примеры SQL-запросов:

  • Запрос, содержащий только функцию агрегации:

    SELECT count(DeviceCustomFloatingPoint1) AS `Aggregate` FROM `events` WHERE Type = 1 ORDER BY Aggregate DESC LIMIT 10

  • Запрос, содержащий только группировку данных:

    SELECT SourceAddress,DeviceCustomFloatingPoint1 FROM `events` WHERE Type = 1 GROUP BY SourceAddress, DeviceCustomFloatingPoint1 ORDER BY DeviceCustomFloatingPoint1 DESC LIMIT 10

  • Запрос, содержащий функцию агрегации и группировку данных:

    SELECT SourceAddress, sum(DeviceCustomFloatingPoint1) FROM `events` WHERE Type = 1 GROUP BY SourceAddress, DeviceCustomFloatingPoint1 ORDER BY DeviceCustomFloatingPoint1 DESC LIMIT 10

  • Запрос, содержащий выражение из функций агрегации:

    SELECT stddevPop(DeviceCustomFloatingPoint1) + avg(DeviceCustomFloatingPoint1) AS `Aggregate` FROM `events` WHERE Type = 1 ORDER BY Aggregate DESC LIMIT 10

Вы также можете использовать наборы SQL-функций enrich и lookup.

Частота запуска запроса

Обязательный параметр.

Интервал выполнения SQL-запроса. Вы можете указать интервал в минутах, часах и днях. Минимальный интервал – 1 минута.

Время ожидания ответа на SQL-запрос по умолчанию равно интервалу, который вы задаете в этом поле.

Если выполнение SQL-запроса превышает время ожидания, возникает ошибка. В этом случае рекомендуется увеличить интервал. Например, если значение интервала равно 1 минуте, при этом запрос выполняется 80 секунд, то рекомендуется увеличить значение интервала как минимум до 90 секунд.

Теги

Необязательный параметр.

Теги для поиска ресурса.

Глубина

Необязательный параметр.

Выражение для определения нижней границы интервала поиска событий в базе данных.

Чтобы выбрать значение из списка либо задать глубину в формате относительного интервала, установите курсор в поле. Например, если вы хотите находить все события за период, прошедший с текущего момента назад на один час, установите относительный интервал now-1h.

Описание

Необязательный параметр.

Описание правила сбора и анализа данных.

Сопоставление

Параметры для настройки сопоставления полей результата SQL-запроса с событиями КUMA:

Исходное поле – поле результата SQL-запроса, которое вы хотите преобразовать в событие КUMA.

Поле события – поле события КUMA. Вы можете выбрать одно из доступных значений в списке, установив курсор мыши в это поле.

Подпись – уникальная пользовательская метка полей событий, которые начинаются с DeviceCustom*.

Вы можете добавлять новые строки таблицы и удалять строки таблицы. Для добавления новой строки таблицы нажмите на кнопку Добавить сопоставление. Для удаления строки установите флажок рядом с нужной строкой и нажмите на кнопку .

Если вы не хотите заполнять поля вручную, вы можете нажать на кнопку Добавить сопоставление из SQL. Значения полей SQL-запроса, включая псевдонимы (при наличии), подставятся в таблицу сопоставления полей. Например, если поле в SQL-запросе имеет значение SourceAddress и это значение совпадает с названием поля события, это значение проставляется в столбце Поле события в таблице сопоставления полей.

При повторном нажатии на кнопку Добавить сопоставление из SQL таблица не обновляется, а значения полей SQL запроса добавляются в нее повторно.

Вы можете создавать правило сбора и анализа данных одним из следующих способов:

  • В разделе Ресурсы→Ресурсы и сервисы→Правила сбора и анализа данных.
  • В разделе События.

Чтобы создать правило сбора и анализа данных в разделе События:

  1. Создайте или сформируйте SQL-запрос и нажмите на кнопку Правила сбора и анализа данных.

    В браузере откроется новая вкладка создания правила сбора и анализа данных с предзаполненными полями SQL запрос и Глубина. Таблица сопоставления полей также будет заполнена автоматически, если в SQL-запросе вы не использовали звездочку (*).

  2. Заполните обязательные поля.

    Если необходимо, вы можете изменить значение в поле Частота запуска запроса.

  3. Сохраните параметры.

Правило сбора и анализа данных сохранено и доступно в разделе Ресурсы и сервисы→Правила сбора и анализа данных. Чтобы правило сбора и анализа данных выполнялось, вам нужно создать для него планировщик.

В начало
[Topic 295030]

Настройка планировщика для правила сбора и анализа данных

Чтобы правило сбора и анализа данных выполнялось, вам нужно создать для него планировщик.

Планировщик направляет SQL-запросы в заданные вами разделы хранилища с интервалом и глубиной поиска, который вы настраиваете в правиле, а затем преобразует результаты SQL-запросов в базовые события и направляет в коррелятор.

Результаты SQL-запросов, преобразованные в базовые события, не попадают в хранилище.

Для корректной работы планировщика необходимо настроить связь между правилом сбора и анализа данных, хранилищем и корреляторами в разделе Ресурсы → Сбор и анализ данных.

Для работы с разделом вам нужно иметь одну из следующих ролей: Главный администратор, Администратор тенанта, Аналитик второго уровня, Доступ к общим ресурсам, Редактирование общих ресурсов.

Планировщики расположены в таблице по дате последнего запуска. Вы можете сортировать данные в столбцах по возрастанию и убыванию, нажав на значок Arrow_Down_Icone в заголовке столбца.

Доступные столбцы таблицы планировщиков:

  • Название правила – название правила сбора и анализа данных, для которого вы создали планировщик.
  • Название тенанта – название тенанта, которому принадлежит правило сбора и анализа данных.
  • Состояние – статус планировщика. Возможны следующие значения:
    • Включено – планировщик выполняется, правило сбора и анализа данных будет запускаться по заданному расписанию.
    • Выключено – планировщик не выполняется.

      Этот статус планировщик имеет по умолчанию при создании. Чтобы планировщик выполнялся, необходимо перевести его в состояние Включено.

  • Планировщик завершил работу в – время последнего запуска правила сбора и анализа данных, для которого вы создали планировщик.
  • Статус выполнения правила – статус, с которым планировщик завершил работу. Возможны следующие значения:
    • ОК – планировщик завершил работу без ошибок, правило выполнено.
    • Неизвестно – планировщик переведен в состояние Включено, и его статус в данный момент неизвестен. Статус Неизвестно отображается, если вы привязали хранилища и корреляторы на соответствующих вкладках и перевели планировщик в состояние Включено, но еще не запустили.
    • Остановлен – планировщик остановлен, правило не выполняется.
    • Ошибка – планировщик завершил работу, правило выполнено с ошибкой.
  • Последняя ошибка – ошибки (при наличии), которые возникли при выполнении правила сбора и анализа данных.

Неуспешная попытка отправки событий в установленный коррелятор не является ошибкой.

На панели инструментов в верхней части таблицы вы можете выполнять действия над планировщиками.

  • Добавить новый планировщик. Нажмите на кнопку Добавить и в отобразившемся окне установите флажки рядом с названиями правил сбора и анализа данных, для которых вы хотите создать планировщик.

    В этом окне вы можете выбрать правило сбора и анализа данных только из ранее созданных. Создать новое правило нельзя.

  • Удалить планировщик. В таблице планировщиков установите флажки рядом планировщиками, которые вы хотите удалить, и нажмите на кнопку Удалить. Планировщик и привязки удаляются. Правило сбора и анализа данных не удаляется.
  • Включить планировщик. В таблице планировщиков установите флажки рядом планировщиками, которые вы хотите включить, и нажмите на кнопку Включить по расписанию. Правило сбора и анализа данных, для которого был создан этот планировщик, будет выполняться согласно расписанию, заданному в настройках этого правила.
  • Отключить планировщик. В таблице планировщиков установите флажки рядом планировщиками, которые вы хотите отключить, и нажмите на кнопку Отключить. Правило сбора и анализа данных временно перестает выполняться, при этом сам планировщик и привязки не удаляются.
  • Запустить планировщик. В таблице планировщиков установите флажки рядом с включенными планировщиками, и нажмите на кнопку Запустить сейчас. Правило сбора и анализа данных, для которого был создан этот планировщик, выполнится немедленно.

Чтобы изменить параметры планировщика, нажмите на соответствующую строку в таблице.

Доступные параметры планировщика для правил сбора и анализа данных описаны ниже.

Вкладка Общие

На этой вкладке вы можете выполнить следующие действия:

  • Включить или выключить планировщик с помощью переключателя.

    Если переключатель включен, правило сбора и анализа данных будет запускаться по расписанию, заданному в его настройках.

  • Изменить следующие параметры правила сбора и анализа данных:
    • Название
    • Частота запуска запроса
    • Глубина
    • Sql
    • Описание
    • Сопоставление

Вкладка Привязанные хранилища

На этой вкладке вам нужно задать хранилище, в которое планировщик будет направлять SQL-запросы.

Чтобы задать хранилище:

  1. Нажмите на кнопку Привязать на панели инструментов.
  2. В открывшемся окне укажите название хранилища, к которому вы хотите добавить привязку, а также название раздела выбранного хранилища.

    Вы можете выбрать только одно хранилище, но несколько разделов этого хранилища.

  3. Нажмите на кнопку Добавить.

Привязка создана и отображается в таблице на вкладке Привязанные хранилища.

При необходимости вы можете удалить привязки, установив флажки в соответствующих строках таблицы и нажав на кнопку Отвязать выбранные.

Вкладка Привязанные корреляторы

На этой вкладке вам нужно добавить корреляторы для работы с базовыми событиями.

Чтобы добавить коррелятор:

  1. Нажмите на кнопку Привязать на панели инструментов.
  2. В открывшемся окне установите курсор мыши в поле Коррелятор.
  3. В отобразившемся списке корреляторов установите флажки рядом с корреляторами, которые вы хотите добавить.
  4. Нажмите на кнопку Добавить.

Корреляторы добавлены и отображаются в таблице на вкладке Привязанные корреляторы.

При необходимости вы можете удалить корреляторы, установив флажки в соответствующих строках таблицы и нажав на кнопку Отвязать выбранные.

Также вы можете просмотреть результат работы планировщика в журнале Ядра, предварительно настроив режим Отладка в параметрах Ядра. Чтобы скачать журнал, выберите раздел KUMA Ресурсы → Активные сервисы, затем выберите сервис Ядра и нажмите на кнопку Журнал.

Записи с результатом работы планировщика имеют приставку datamining scheduler.

В начало
[Topic 295865]