Аналитика

KUMA предоставляет обширную аналитику по данным, доступным программе из следующих источников:

• События в хранилище
• Алерты
• Активы
• Учетные записи, импортированные из Active Directory
• Сведения из коллекторов о количестве обработанных событий
• Метрики

Вы можете настроить и получать аналитику в разделах Панель мониторинга, Отчеты, Состояние источников веб-интерфейса KUMA. Для построения аналитики используются только данные из тенантов, к которым у пользователя есть доступ.

Формат даты зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

• Английская локализация: ГГГГ-ММ-ДД.
• Русская локализация: ДД.ММ.ГГГГ.

Работа с событиями

В разделе События веб-интерфейса KUMA вы можете просматривать полученные программой события, чтобы расследовать угрозы безопасности или создавать правила корреляции. В таблице событий отображаются данные, полученные после выполнения SQL-запроса.

События можно отправлять в коррелятор для ретроспективной проверки.

Формат даты события зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

• Английская локализация: ГГГГ-ММ-ДД.
• Русская локализация: ДД.ММ.ГГГГ.

Фильтрация и поиск событий

По умолчанию в разделе События веб-интерфейса KUMA данные не отображаются. Для просмотра событий в поле поиска нужно задать SQL-запрос и нажать на кнопку Выполнить запрос. SQL-запрос можно ввести вручную или сформировать с помощью конструктора запросов.

В SQL-запросах поддерживается агрегирование и группировка данных.

Вы можете осуществлять поиск событий по нескольким хранилищам. Например, таким образом вы можете выполнять поиск событий, чтобы определить, где учетная запись блокируется, или на какой URL с каких IP-адресов был выполнен вход. Пример запроса для поиска событий заблокированной учетной записи:

SELECT * FROM `events` WHERE DestinationUserName = 'username' AND DeviceEventClassID = '4625' LIMIT 250

Чтобы выполнить поиск событий по нескольким хранилищам, в разделе События в раскрывающемся списке в верхней правой части раздела установите флажки рядом с нужными хранилищами.

В списке отображаются следующие хранилища:

• Хранилища тенанта Main.
• Доступные хранилища тенантов, для которых выполняется одно из следующих условий:
  • Тенант, которому принадлежит хранилище, включен в фильтре тенантов и у пользователя есть права на чтение событий в этом тенанте.
  • У пользователя есть доступ к тенанту одной из партиции хранилища и права на чтение событий в этом тенанте.

    Например, если у вас есть доступ к тенанту коллектора, но нет доступа к тенанту хранилища, по умолчанию хранилище недоступного тенанта не отображается в списке доступных хранилищ. Если в коллектор доступного вам тенанта добавлена точка назначения в хранилище недоступного вам тенанта, после того как в партицию тенанта коллектора поступило событие, хранилище недоступного тенанта появится в списке хранилищ в разделе События.

В поле раскрывающего списка хранилищ в верхней правой части раздела События отображается название первого из выбранных хранилищ и количество выбранных хранилищ, их несколько. Вы можете навести курсор мыши на поле раскрывающегося списка, чтобы отобразить все выбранные хранилища. Если пространство в хранилище удалено, в раскрывающемся списке хранилищ отображается deleted<идентификатор удаленного пространства>, события доступны для поиска в течение срока TTL.

Тенанты, выбранные в фильтре тенантов, влияют на то, какие хранилища отображаются в раскрывающемся списке хранилищ. Если в фильтре тенантов вы выключите тенанты, хранилища которых вам доступны, эти хранилища не будут отображаться в раскрывающемся списке хранилищ. Если эти хранилища были выбраны в раскрывающемся списке хранилищ, флажки напротив них будут сняты и события из этих хранилищ не будут отображаться. Если в раскрывающемся списке хранилищ выбрано только одно хранилище не из Main тенанта и в выборе тенантов вы выключили тенант, к которому принадлежит выбранное хранилище, это хранилище не будет отображаться в списке хранилищ и KUMA автоматически изменит выбор на одно из хранилищ тенанта Main.

Допускается простой запрос по всем выбранным хранилищам, как в примере выше. Если при выполнении запроса недоступно хотя бы одно из выбранных хранилищ, KUMA вернет ошибку.

Ограничения для поиска событий по нескольким хранилищам:

• При выполнении запроса к нескольким хранилищам недоступен экспорт в TSV, ретроспективная проверка и запросы REST API.
• В SELECT могут быть только * и/или названия полей события. Алиасы, функции, выражения не допускаются.
• В ORDER BY могут быть также только поля события (без функций, констант или выражений). Если такого поля нет в списке полей SELECT, то поле будет добавляться автоматически при отправке на конкретный кластер. ORDER BY ClusterID задать невозможно.
• GROUP BY недоступно.

Сложные запросы с группировками и агрегацией допускаются для одного выбранного хранилища.

Вы можете добавить условия фильтрации в уже сформированный SQL-запрос в окне просмотра статистики, таблицы событий и области деталей событий:

• Изменение запроса из окна статистики

  Чтобы изменить параметры фильтрации из окна Статистика:

  1. Откройте область деталей Статистика одним из следующих способов:
     • В правом верхнем углу таблицы событий в раскрывающемся списке выберите Статистика.
     • В таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.

     В правой части окна откроется область деталей Статистика.

  2. Откройте раскрывающийся список необходимого параметра и наведите курсор мыши на требуемое значение.
  3. С помощью значков плюса и минуса измените параметры фильтрации, выполнив одно из следующих действий:
     • Если вы хотите включить в выборку событий только события с выбранным значением, нажмите .
     • Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите .

  В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.

• Изменение запроса из таблицы событий

  Чтобы изменить параметры фильтрации из таблицы событий:

  1. В разделе События веб-интерфейса KUMA нажмите на любое значение параметра события в таблице событий.
  2. В открывшемся меню выберите один из следующих вариантов:
     • Если вы хотите оставить в таблице только события с выбранным значением, выберите Искать события с этим значением.
     • Если вы хотите исключить из таблицы все события с выбранным значением, выберите Искать события без этого значения.

  В результате параметры фильтрации и таблица событий обновляются, а в верхней части экрана отображается измененный поисковый запрос.

• Изменение запроса из области деталей события

  Чтобы изменить параметры фильтрации в области деталей события:

  1. В разделе События веб-интерфейса KUMA нажмите на нужное событие.

     В правой части окна откроется область деталей Информация о событии.

  2. Измените параметры фильтрации, используя значки плюса или минуса рядом с необходимыми параметрами:
     • Если вы хотите включить в выборку событий только события с выбранным значением, нажмите .
     • Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите .

  В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.

После изменения запроса все параметры запроса, включая добавленные условия фильтрации, переносятся в конструктор и строку поиска.

Параметры запроса, введенного вручную в строке поиска, при переключении на конструктор не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить запрос в окне конструктора.

В поле ввода SQL-запроса можно включить отображение непечатаемых символов.

События можно также фильтровать по временному периоду. Результаты поиска можно автоматически обновлять.

Конфигурацию фильтра можно сохранить. Существующие конфигурации фильтров можно удалить.

Функции фильтрации доступны пользователям всех ролей.

При обращении к некоторым полям событий с идентификаторами KUMA возвращает соответствующие им названия.

Подробнее об SQL см. в справке ClickHouse. Также об SQL-операторах и функциях, поддерживаемых в KUMA, см. использование операторов в KUMA и поддерживаемые функции.

Выбор хранилища

События, которые отображаются в веб-интерфейсе KUMA в разделе События, получены из хранилища (то есть кластера ClickHouse). В зависимости от потребностей вашей компании у вас может быть более одного хранилища, однако для получения событий необходимо указывать, события из какого именно хранилища вам требуются.

Чтобы выбрать хранилище, из которого вы хотите получать события,

В разделе События веб-интерфейса KUMA откройте раскрывающийся список хранилищ в верхней правой части раздела и выберите одно или несколько пространств одного или нескольких хранилищ. Вы можете выбрать все доступные пространства хранилища, установив флажок напротив названия хранилища.

В таблице событий отображаются события из указанного хранилища. Имя выбранного хранилища отображается в раскрывающемся списке хранилищ.

В раскрывающемся списке хранилищ отображаются только кластеры тенантов, доступных пользователю, а также кластер главного тенанта.

Формирование SQL-запроса с помощью конструктора

В KUMA вы можете сформировать SQL-запрос для фильтрации событий с помощью конструктора запросов.

Чтобы сформировать SQL-запрос с помощью конструктора:

1. В разделе События веб-интерфейса KUMA нажмите на кнопку .

   Откроется окно конструктора запросов.

2. Сформулируйте поисковый запрос, указав данные в следующих блоках параметров:

   SELECT – поля событий, которые следует возвращать. По умолчанию выбрано значение *, означающее, что необходимо возвращать все доступные поля события. Чтобы вам проще было просматривать результаты поиска, в раскрывающемся списке вы можете выбрать необходимые поля, тогда в таблице будут отображаться данные только для выбранных полей. Стоит учитывать, что Select * в запросе увеличивает длительность выполнения запроса, но избавляет от необходимости прописывать поля в запросе вручную.

   Выбрав поле события, вы можете в поле справа от раскрывающегося списка указать псевдоним для столбца выводимых данных, а в крайнем правом раскрывающемся списке можно выбрать операцию, которую следует произвести над данными: count, max, min, avg, sum.

   Если вы используете в SQL-запросе функции агрегации, вы можете настроить отображение столбцов в таблице событий. После выполнения запроса без * столбцы придут в соответствие с запросом. Также недоступна сортировка событий по возрастанию и убыванию, а также получение статистики.

   Если в запросе используется группировка или агрегирующие функции, радар показывает не одно число, которое пришло по запросу SELECT max(BytesOut) FROM `events` LIMIT 250, а распределение событий, из которых получается это число.

   В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно производить операции над данными полей событий и присваивать названия столбцам выводимых данных.

   • FROM – источник данных. Выберите значение events.
   • WHERE – условия фильтрации событий.

     Условия и группы условий можно добавить с помощью кнопок Добавить условие и Добавить группу. По умолчанию в группе условий выбрано значение оператора И, однако если на него нажать, оператор можно изменить. Доступные значения: И, ИЛИ, НЕ. Структуру условий и групп условий можно менять, перетаскивая выражения с помощью мыши за значок .

     Добавление условий фильтра:

     1. В раскрывающемся списке слева выберите поле события, которое вы хотите использовать для фильтрации.
     2. В среднем раскрывающемся списке выберите нужный оператор. Доступные операторы зависят от типа значения выбранного поля события.
     3. Введите значение условия. В зависимости от выбранного типа поля вам потребуется ввести значение вручную, выбрать его в раскрывающемся списке или выбрать в календаре.

     Условия фильтра и группы условий можно удалить с помощью кнопки .

   • GROUP BY – поля событий или псевдонимы, по которым следует группировать возвращаемые данные.

     Если вы используете в SQL-запросе группировку данных, в списке событий будут отображаться пользовательские поля, указанные в запросе. Настройка столбцов таблицы в группе недоступна. В событиях группы можно настроить отображение столбцов. Также недоступна сортировка событий по возрастанию и убыванию, получение статистики.

     В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно группировать возвращаемые данные.

   • ORDER BY – столбцы, по которым следует сортировать возвращаемые данные. В раскрывающемся списке справа можно выбрать порядок: DESC – по убыванию, ASC – по возрастанию.
   • LIMIT – количество отображаемых в таблице строк.

     Значение по умолчанию – 250.

     Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше. Кнопка не отображается при фильтрации событий по стандартному периоду.

3. Нажмите на кнопку Применить запрос.

   Текущий SQL-запрос будет перезаписан. В поле поиска отобразится сформированный SQL-запрос.

   Если вы хотите сбросить настройки конструктора, нажмите на кнопку Запрос по умолчанию.

   Если вы хотите закрыть конструктор, не перезаписывая существующий запрос, нажмите на кнопку в верхней правой части окна создания запроса.

4. Для отображения данных в таблице нажмите на кнопку Выполнить запрос.

В таблице отобразятся результаты поиска по сформированному SQL-запросу.

При переходе в другой раздел веб-интерфейса сформированный в конструкторе запрос не сохраняется. Если вы повторно вернетесь в раздел События, в конструкторе будет отображаться запрос по умолчанию.

Подробнее об SQL см. в справке ClickHouse. Также см. использование операторов в KUMA и поддерживаемые функции.

Создание SQL-запроса вручную

Вы можете вручную использовать строку поиска, чтобы создавать SQL-запросы любой сложности для фильтрации событий.

Чтобы сформировать SQL-запрос вручную:

1. Перейдите в раздел События веб-интерфейса KUMA.

   Откроется форма с полем ввода.

2. Введите SQL-запрос в поле ввода. Вам нужно использовать одинарные кавычки в запросах.
3. Нажмите на кнопку Выполнить запрос.

Отобразится таблица событий, соответствующих условиям вашего запроса. При необходимости вы можете отфильтровать события по периоду.

Поддерживаемые функции и операторы

Если вы хотите указать в запросе специальный символ, вам требуется экранировать его, поместив перед ним обратную косую черту (\).

При создании нормализатора для событий вы можете выбрать, сохранять ли значения полей исходного события. Данные сохраняются в поле события Extra. Поиск событий по этому полю осуществляется с помощью оператора LIKE.

Если вы создали SQL-запрос вручную в строке поиска и затем переключились на конструктор, параметры SQL-запроса не перенесутся в конструктор. В этом случае вам потребуется создать SQL-запрос в конструкторе заново. SQL-запрос, созданный в конструкторе, не перезаписывает SQL-запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить запрос в окне конструктора. Если вы создали SQL-запрос в конструкторе и затем переключились на поисковую строку, параметры запроса перенесутся автоматически.

Используемые в поисковых запросах псевдонимы не должны содержать пробелов.

Подробнее об SQL см. в справке ClickHouse. Также см. поддерживаемые функции ClickHouse.

Сохранение истории запросов

В веб-интерфейсе KUMA в разделе События сохраняется персональная история поисковых SQL-запросов. Вы можете обращаться к истории запросов и быстро находить нужный выполненный вами запрос.

Запросы сохраняются в браузере. При смене браузера история запросов очищается. В истории хранятся 32 последних введенных вами запроса. Запросы отображаются с форматированием. Отображается дата и время выполнения запроса.

В истории запросов сохраняются только запросы с правильным синтаксисом.

Чтобы найти поисковый запрос в истории:

1. В разделе События поместите курсор в строку запроса.
2. Нажмите мышкой на кнопку (История SQL-запросов), которая размещается на панели инструментов окна ввода запросов, или используйте комбинации клавиш Ctrl+] или Ctrl+[ на клавиатуре.

   Откроется окно истории запросов. Вверху списка запросов отображается последний выполненный вами запрос.

3. Выберите поисковый запрос. Для навигации по списку сохраненных запросов используйте комбинацию клавиш Ctrl+] или Ctrl+[.

   Выбранный запрос подставится в строку запроса.

4. При необходимости выполните поисковый запрос. Для этого нажмите комбинацию клавиш Ctrl+Enter.

При выполнении запроса окно истории запросов закрывается.

Также окно с историей запросов вы можете закрыть, нажав на клавишу Esc, при этом курсор переместится в окно редактирования запроса.

Вы можете скопировать запрос в буфер обмена, нажав комбинацию клавиш Ctrl+C. При этом скопируется часть запроса, выделенная мышкой, или вся строка запроса, ограниченная рамкой, если не было выделения.

Вы можете сохранить запрос нажав комбинацию клавиш Ctrl+S, либо нажав мышкой на кнопку (Сохранить запрос) в строке. При этом окно истории закроется, и откроется боковая панель для сохранения запроса с заполненными полями.

Пользователь может вставить запрос в окно запроса без выполнения, нажав мышкой на кнопку (Вставить запрос), либо на клавишу Enter.

Работа с сохраненными поисковыми запросами

В KUMA в разделе События вы можете организовать сохраненные SQL-запросы в дереве папок для структурированного хранения и быстрого поиска SQL-запросов. Вы можете редактировать ранее сохраненные запросы, переименовывать их, размещать запросы в группах (папках) доступных тенантов и осуществлять поиск по ранее сохраненным запросам в поисковой строке.

Сохраненные запросы подчиняются тенантной модели доступа и будут видны всем пользователям, которые имеют доступ к соответствующим тенантам.

Сохраненные запросы размещаются в панели Сохраненные запросы. Вы можете открыть или закрыть панель Сохраненные запросы с помощью кнопки (закладка) в панели инструментов окна ввода запросов.

Навигационная панель Сохраненные запросы отображается слева и содержит:

• Окно поиска запроса, в котором вы можете выполнять поиск по имени папки и имени запроса.
• Дерево папок и запросов, папку Избранное.
• Фильтр запросов: отображение запросов, созданных вами (вкладка Мои) и отображение всех запросов (вкладка Все).

Отображение запроса в окне запросов

Чтобы отобразить запрос в окне запросов:

1. В разделе События нажмите на кнопку (закладка).

   Откроется навигационная панель Сохраненные запросы.

2. В дереве папок панели Сохраненные запросы мышкой выберите нужный запрос.

Текст выбранного запроса отображается в окне запросов.

Сохранение запроса в папку или тенант

В разделе События после введения запроса в окне запросов и нажатия на кнопку Сохранить текущий запрос (значок дискеты) вы можете сохранить SQL-запрос в доступную для выбора папку или тенант.

Чтобы сохранить запрос в папку:

1. В окне Новый запрос в поле Название фильтра введите название фильтра.

   При вводе названия фильтра учитывайте следующее:

   • Название содержит символы Unicode.
   • Минимальная длина названия – 1 символ, максимальная – 128 символов.
   • В одном тенанте не может быть одинаковых названий.
   • Символы табуляции, переноса строки и красной строки заменяются на символ пробела.

   При сохранении названия:

   • Пробелы в начале и конце строки удаляются.
   • Множественные пробелы между символами сокращаются до одного.
2. В поле Запрос введите текст SQL запроса.
3. Выберите тенант, папку из списка папок, созданных в доступном вам тенанте, или создайте новую папку, нажав на кнопку Добавить папку.

   Добавить папку вы также можете в окне Сохраненные запросы, нажав на кнопку напротив тенанта и добавив папку в появившемся окне Новая папка.

4. Нажмите на кнопку Сохранить.

Запрос будет сохранен в выбранной папке или тенанте.

Просмотр текста запроса

Чтобы просмотреть текст запроса:

1. В разделе События нажмите на кнопку (закладка).

   Откроется навигационная панель Сохраненные запросы.

2. В дереве папок панели Сохраненные запросы напротив нужного запроса нажмите на кнопку .

Появляется окно с текстом запроса.

Установка запроса по умолчанию

Вы можете выбрать себе запрос по умолчанию, с которым будет открываться раздел События.

Чтобы установить запрос по умолчанию:

1. В разделе События нажмите на кнопку (закладка).

   Откроется навигационная панель Сохраненные запросы.

2. В дереве папок панели Сохраненные запросы выберите нужный запрос.
3. Нажмите на кнопку и в открывшемся меню выберите пункт Использовать по умолчанию.

Выбранный запрос будет использоваться по умолчанию.

Добавление папок и запросов в избранное

Чтобы добавить папку или отдельный запрос в избранное:

1. В разделе События нажмите на кнопку (закладка).

   Откроется навигационная панель Сохраненные запросы.

2. В дереве папок панели Сохраненные запросы выберите нужную папку или запрос.
3. Нажмите на кнопку и в открывшемся меню выберите пункт В избранное.

Выбранная папка или ресурс переместится в папку Избранное.

Редактирование запроса

Чтобы отредактировать запрос:

1. В разделе События нажмите на кнопку (закладка).

   Откроется навигационная панель Сохраненные запросы.

2. В дереве папок панели Сохраненные запросы выберите нужный запрос.
3. Нажмите на кнопку и в открывшемся меню выберите пункт Изменить.

   Откроется окно изменения сохраненного запроса.

4. В окне измените название, текст запроса или папку, в которой будет сохранен запрос.
5. Нажмите на кнопку Сохранить.

Запрос будет обновлен и сохранен в выбранной папке.

Удаление запроса

Чтобы удалить запрос из папки при наличии прав:

1. В разделе События нажмите на значок закладки ().

   Откроется навигационная панель Сохраненные запросы.

2. В дереве папок панели Сохраненные запросы выберите нужный запрос.
3. Нажмите на значок с тремя точками () и в появившемся меню выберите пункт Удалить.
4. В открывшемся окне подтвердите удаление.

Запрос будет удален.

Фильтрация событий по периоду

В KUMA вы можете настроить отображение событий, относящихся к определенному временному периоду.

Чтобы отфильтровать события по периоду:

1. В разделе События веб-интерфейса KUMA в верхней части окна откройте раскрывающийся список временного периода в верхней правой части раздела.
2. Выберите период одним из следующих способов:
   • Если вы хотите указать точную дату, в календаре слева выберите даты начала и окончания периода и нажмите на кнопку Применить.

     Вы можете выбрать дату до текущей включительно. Формат даты и времени зависит от параметров вашего браузера. Если в поле Дата от или Дата до есть значение и вы не меняли вручную значение времени, при выборе даты в календаре в поле Дата от автоматически подставится время 00:00:00.000, а в поле Дата до – 23:59:59.999. Если вы вручную удалили значение в поле Дата от или Дата до, при выборе даты в календаре в поле автоматически подставится текущее время. После того как вы выберите значение в одном из полей, фокус переключается на другое поле. Если в поле Дата до вы выбираете значение, которое меньше значения в поле Дата от, это меньшее значение будет автоматически подставлено в поле Дата от.

   • Если вы хотите указать относительный период, выберите один из доступных периодов в списке Относительный период справа.

     Период рассчитывается относительно настоящего времени.

   • Если вы хотите задать пользовательский период, укажите или измените значение вручную в полях Дата от и Дата до.

     Вы можете указать точные дату и время в формате DD.MM.YYYY HH:mm:ss.SSS для русской локализации и YYYY-MM-DD HH:mm:ss.SSS для английской локализации или период относительно текущего времени в виде формулы. При необходимости вы также можете комбинировать эти способы. Если при вводе точной даты вы не указали миллисекунды, значение 000 подставляется автоматически. Если вы вручную изменили время в полях Дата от или Дата до, при переключении даты в календаре значение времени не меняется.

     В формулах относительного периода используйте параметр now для обозначения текущих даты и времени и язык параметризации интервалов: символы + (только в поле Дата до), -, / (округление до ближайшего), а также единицы изменения времени y (год), M (месяц), w (неделя), d (день), h (час), m (минута), s (секунда). Например, вы можете указать период now-5d, чтобы получить данные за последние пять дней, или now/w, чтобы получить данные с начала первого дня текущей недели (00:00:00:000 в UTC) до текущего времени now.

     Поле Дата от является обязательным, и его значение не может превышать значение, установленное в поле Дата до, а также не может быть меньше 01.01.1970 (при указании точной даты или относительного периода). Значение в поле Дата до не должно быть меньше значения, установленного в поле Дата от. Если вы не укажете значение в поле Дата до, параметр now указывается автоматически.

   По умолчанию выбрано значение 5 минут (now-5m). Границы периода включаются: например, для периода Сегодня отобразятся события с начала сегодняшнего дня 00:00:00:000 UTC до текущего времени now включительно, а для периода Вчера – с начала вчерашнего дня 00:00:00:000 UTC до 00:00:00:000 UTC сегодняшнего дня.

   Время в KUMA хранится в UTC, но в интерфейсе оно конвертируется в соответствии с часовым поясом вашего браузера. Это нужно учитывать для относительных периодов Сегодня, Вчера, Эта неделя и Этот месяц. Например, если в браузере установлен часовой пояс UTC+3 и вы выбрали период Сегодня, события будут отображаться за период с 03:00:00.000 до текущего времени, а не с 00:00:00.000.

   Если при выборе относительного периода Сегодня, Вчера, Эта неделя или Этот месяц вы хотите отобразить события в соответствии с вашим часовым поясом, вам нужно вручную добавить сдвиг по времени в поля Дата от и Дата до (если указано значение кроме now), прибавив или убавив необходимое количество часов. Например,если в браузере установлен часовой пояс UTC+3 и вы хотите отобразить данные за период Вчера, вам нужно изменить значение в поле Дата от на now-1d/d-3h, а в поле Дата до – на now/d-3h. Если же вы хотите отобразить данные за период Сегодня, вам нужно изменить значение только в поле Дата от на now/d-3h.

   Если вам нужны результаты до 23:59:59:999 вчерашнего дня, то используйте SQL-запрос с фильтром по Timestamp или укажите точные дату и время.

3. Если вы хотите зафиксировать последний относительный период, по которому выполнялся запрос, как точные дату и время, нажмите на кнопку .

   После этого относительный период преобразуется в точные дату и время. Вы можете навести курсор мыши на эту кнопку, чтобы отобразить дату и время, которые будут зафиксированы. Относительные периоды Сегодня, Вчера, Эта неделя, Этот месяц преобразуются в точные дату и время в UTC, остальные периоды – в дату и время с учетом часового пояса браузера.

   Если вы выполнили SQL-запрос с группировкой событий, то при переключении между группами в результатах запроса относительный временной диапазон автоматически преобразуется в точные дату и время.

4. Нажмите на кнопку Выполнить запрос.

Отобразятся только события, зарегистрированные в течение указанного интервала времени. Период отобразится в верхней части окна.

Вы также можете настроить отображение событий с помощью гистограммы событий, которая отображается при нажатии на кнопку в верхней части раздела События. События отобразятся, если нажать на нужный столбец данных или выделить требуемый период времени и нажать на кнопку Показать события.

Группировка событий

После получения списка событий часто возникает потребность разделить полученные события по группам, чтобы локализовать событие информационной безопасности. В KUMA есть возможность сгруппировать события по одному или нескольким полям для полученного списка событий.

Чтобы сгруппировать события, теперь не нужно вручную корректировать текст запроса - можно в разделе События нажать на заголовок столбца и в контекстном меню выбрать Добавить GROUP BY в запрос. Вы можете выбрать последовательно несколько полей для группировки, поля будут автоматически добавлены в строку запроса. После того как вы выбрали нужные поля, нажмите Выполнить запрос. В результате будет выполнена группировка событий по заданным полям. Найденные группы будут отображаться в разделе Группы. Отображение доступно в виде таблицы и в виде карточек. Вы можете переключаться между режимами отображения.

Можно исключить группу из запроса:

• В режиме Карточки нажмите на кнопку -.
• В режиме Таблицы нажмите правой кнопкой мыши по группе и в появившемся контекстном меню выберите Исключить группу из фильтра.

В результате запрос автоматически изменится и группа будет исключена из запроса.

Если вы хотите вернуться к исходному запросу, нажмите Вернуться к исходному запросу.

По группам можно переходить и просматривать содержимое каждой группы.

Доступен глобальный поиск по всем группам и локальный поиск по событиям в рамках выбранной группы.

Можно усложнить группировку и добавить одно или несколько полей.

Можно удалить группу из группировки и таким образом вернуться на шаг назад.

Если запрос по группе возвращает много событий, будут отображаться только первые 1000 событий. Если в запросе содержится SELECT Count(ID), можно перейти по ссылке, которой является общее количество событий в результате запроса, и посмотреть все события. Если запрос не содержит Count(ID), количество событий в группе указано не будет, но сохраняется возможность перейти по ссылке и посмотреть общее количество событий в группе.

Доступна статистика, рестроспективная проверка по группам и Экспорт в TSV.

Если вы хотите, чтобы результат группировки не зависел от времени – поскольку события поступают постоянно - вы можете зафиксировать относительный интервал и применить его как абсолютный, чтобы интересующие вас события не выпали из выборки. Чтобы зафиксировать относительный интервал, в разделе События в раскрывающемся списке с временным интервалом выберите Применить текущий диапазон. Теперь вы можете работать с группами в рамках этого запроса.

Если вы хотите распределить выбранные события по месяцам, дням, минутам и секундам, вы можете выполнить группировку событий по полю Timestamp. Чтобы выполнить группировку, в таблице событий в поле Timestamp в контекстном меню выберите нужную опцию группировки.

Если вы хотите нормализовать значение поля Timestamp и смотреть время из разных источников по одной шкале времени UTC, в таблице событий в поле Timestamp в контекстном меню выберите Конвертировать в часовой пояс UTC.

Отображение названий вместо идентификаторов

При обращении к некоторым полям событий, содержащих идентификаторы, KUMA возвращает не идентификаторы, а соответствующие им названия. Это сделано для удобства восприятия информации. Например, если вы обратитесь к полю события TenantID (в который записывается идентификатор тенанта), вы получите значение из поля событий TenantName (в которое записывается название тенанта).

При экспорте событий в файл записываются значения из обоих полей: и с идентификатором, и с названием.

В таблице ниже перечислены поля, при обращении к которым происходит замена:

Замена не происходит, если в SQL-запросе полю присвоен псевдоним. Примеры:

• SELECT TenantID FROM `events` LIMIT 250 – в результате поиска в поле TenantID будет отображаться название тенанта.
• SELECT TenantID AS Tenant_name FROM `events` LIMIT 250 – в результате поиска в поле Tenant_name будет отображаться идентификатор тенанта.

Пресеты

Вы можете использовать

пресеты

Пресет – это предварительно заданный набор полей событий, который можно использовать для упрощения работы с запросами.

Чтобы создать пресет:

1. В разделе События нажмите на значок .
2. В открывшемся окне на вкладке Столбцы полей событий выберите необходимые поля.

   Для упрощения поиска можно начать набирать название поля в области Поиск. 

3. Чтобы сохранить выбранные поля, нажмите Сохранить текущий пресет.

   Откроется окно Новый пресет.

4. В открывшемся окне укажите Название пресета и выберите Тенант в раскрывающемся списке.
5. Нажмите Сохранить.

   Пресет создан и сохранен.

Чтобы применить пресет:

1. В поле ввода запроса введите Select *.
2. В разделе События веб-интерфейса KUMA нажмите на значок .
3. В открывшемся окне на вкладке Пресеты выберите нужный пресет и нажмите на кнопку .

   Поля из выбранного пресета будут добавлены в поле с SQL-запросом, а столбцы будут добавлены в таблицу. В конструкторе запросов изменений не произойдет.

4. Нажмите на кнопку Выполнить запрос, чтобы выполнить запрос.

   После выполнения запроса столбцы будут заполнены.

Ограничение сложности запросов в режиме расследования алерта

При расследовании алерта сложность SQL-запросов для фильтрации событий ограничена, если при расследовании алерта в раскрывающемся списке источников событий выбрано значение События алерта. В этом случае для фильтрации событий доступны только перечисленные ниже функции и операторы.

При выборе в раскрывающемся списке источников событий значения Все события ограничения не действуют.

• SELECT
  • В качестве символа подстановки используется *.
• WHERE
  • AND, OR, NOT, =, !=, >, >=, <, <=
  • IN
  • BETWEEN
  • LIKE
  • inSubnet

  Примеры:

  • WHERE Type IN ('Base', 'Correlated')
  • WHERE BytesIn BETWEEN 1000 AND 2000
  • WHERE Message LIKE '%ssh:%'
  • WHERE inSubnet(DeviceAddress, '10.0.0.1/24')
• ORDER BY

  Сортировка возможна по столбцам.

• OFFSET

  Пропуск указанного количества строк перед выводом результатов запроса.

• LIMIT

  Значение по умолчанию – 250.

  Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше. Кнопка не отображается при фильтрации событий по стандартному периоду.

В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно производить операции над данными полей событий и присваивать названия столбцам выводимых данных.

Сохранение и выбор конфигураций фильтра событий

В KUMA вы можете сохранять конфигурации фильтров для использования в будущем. Другие пользователи также могут использовать сохраненные фильтры при условии, что у них есть соответствующие права доступа. При сохранении фильтра вы сохраняете настроенные параметры сразу всех активных фильтров: фильтр по периоду, конструктору запросов и параметры таблицы событий. Поисковые запросы сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA выбранного тенанта.

Чтобы сохранить текущие настройки фильтра, запроса и периода:

1. В разделе События веб-интерфейса KUMA нажмите на значок рядом с выражением фильтра.

   Откроется окно Новый фильтр.

2. В открывшемся окне в поле Название введите название конфигурации фильтра. Название должно содержать до 128 символов в кодировке Unicode.
3. В блоке Выберите папку выберите тенант, которому будет принадлежать создаваемый фильтр, и папку внутри тенанта при необходимости.

   Для упрощения поиска можно начать набирать название в области Поиск.

4. При необходимости нажмите на кнопку Добавить папку, чтобы создать новую папку внутри выбранного тенанта.
5. Нажмите Сохранить.

Конфигурация фильтра сохранена.

Чтобы выбрать ранее сохраненную конфигурацию фильтра:

в разделе События веб-интерфейса KUMA нажмите на значок рядом с выражением фильтра и выберите нужный фильтр.

Выбранная конфигурация активна: в поле поиска отображается поисковый запрос, в верхней части окна настроенные параметры периода и частоты обновления результатов поиска. Для отправки поискового запроса нажмите на кнопку Выполнить запрос.

Если навести курсор на название конфигурации фильтра, нажать на значок рядом с названием конфигурации и нажать на кнопку В избранное, конфигурация фильтра будет добавлена в избранное.

Удаление конфигураций фильтра событий

Чтобы удалить ранее сохраненную конфигурацию фильтра:

1. В разделе События веб-интерфейса KUMA нажмите на значок рядом с поисковым запросом фильтра.

   Откроется окно Сохраненные запросы.

2. Наведите курсор мыши на конфигурации, которую требуется удалить, и нажмите на значок рядом с ее названием.
3. В открывшемся меню нажмите на значок .

Конфигурация фильтра удалена для всех пользователей KUMA.

Поддерживаемые функции ClickHouse

В KUMA поддерживаются следующие функции ClickHouse:

• Арифметические функции.
• Массивы.
• Функции сравнения.
• Логические функции.
• Функции преобразования типов.
• Функции для работы с датами и временем.
• Функции для работы со строками.
• Функции поиска в строках.
• Условные функции: только обычный оператор if, тернарный оператор не поддерживается.
• Математические функции.
• Функции округления.
• Функции разбиения и слияния строк и массивов.
• Битовые функции.
• Функции для работы с UUID.
• Функции для работы с URL.
• Функции для работы с IP-адресами.
• Функции для работы с Nullable-аргументами.
• Функции для работы с географическими координатами.

Функции из остальных разделов не поддерживаются.

Подробнее об SQL см. в справке ClickHouse.

Просмотр информации о событии

Чтобы просмотреть информацию о событии:

1. В окне веб-интерфейса программы выберите раздел События.
2. Выполните поиск событий с помощью конструктора запросов или введя запрос в строке поиска.

   Отобразится таблица событий.

3. Выберите событие, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией о событии.

В правой части окна отображается область деталей Информация о событии со списком параметров события и их значений. В этой области деталей можно:

• Включить выбранное поле в поиск или исключить его из поиска, нажав на и рядом со значением параметра.
• По хешу файла в поле FileHash раскрывается список, в котором вы можете выбрать одно из следующих действий:
  • Показать информацию из Threat Lookup.

    Доступно при интеграции с Kaspersky Threat Intelligence Portal.

  • Добавить в Internal TI CyberTrace.
  • Доступно при интеграции с Kaspersky CyberTrace.
• Открыть окно со сведениями об активе, если он упоминается в полях события и зарегистрирован в приложении.
• По ссылке с именем коллектора в поле Service вы можете просмотреть параметры сервиса, зарегистрировавшего событие.

  Вы также можете привязать событие к алерту, если программа находится в режиме расследования алерта, и открыть окно Информация о корреляционном событии, если выбранное событие является корреляционным.

В области деталей Информация о событии в качестве значений перечисленных ниже параметров вместо идентификатора показывается название описываемого объекта. При этом, если изменить фильтрацию событий по этому параметру (например, нажать на значок , чтобы исключить из результатов поиска события с определенной комбинацией параметр-значение), в SQL-запрос будет добавлен идентификатор объекта, а не его название:

• TenantID
• ServiceID
• DeviceAssetID
• SourceAssetID
• DestinationAssetID
• SourceAccountID
• DestinationAccountID

Экспорт событий

Из KUMA можно экспортировать информацию о событиях в TSV-файл. Выборка событий, которые будут экспортированы в TSV-файл, зависит от настроек фильтра. Информация экспортируется из столбцов, которые в этот момент отображаются в таблице событий, при этом столбцы в файле наполняются доступными данными, даже если в таблице событий в веб-интерфейсе KUMA они не отображались из-за особенностей SQL-запроса.

Чтобы экспортировать информацию о событиях:

1. В разделе События веб-интерфейса KUMA нажмите на кнопку TSV в верхней части таблицы событий.

   Новая задача экспорта TSV-файла создается в разделе Диспетчер задач.

2. Найдите созданную вами задачу в разделе Диспетчер задач.

   Когда файл будет готов к загрузке, в строке задачи в столбце Статус отобразятся статус Завершено и значок .

3. Нажмите на название типа задачи и в раскрывающемся списке выберите Загрузить.

   TSV-файл с информацией о событиях будет загружен с использованием настроек вашего браузера. Имя файла по умолчанию: event-export-<date>_<time>.tsv.

Файл сохраняется в соответствии с настройками вашего веб-браузера.

Настройка таблицы событий

В разделе События отображаются ответы на SQL-запросы пользователя, представленные в виде таблицы. Поля, выбранные в пользовательском запросе, отображаются в конце таблицы, после столбцов по умолчанию. Таблицу можно обновлять.

Следующие столбцы в таблице событий отображаются по умолчанию:

• TenantID.
• Timestamp.
• Name.
• DeviceProduct.
• DeviceVendor.
• DestinationAddress.
• DestinationUserName.

В KUMA можно настроить отображаемый набор полей событий и порядок их отображения. Выбранную конфигурацию можно сохранить.

При использовании для фильтрации событий SQL-запросов с группировкой и агрегацией данных статистика недоступна, а состав и порядок столбцов зависит от SQL-запроса.

В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.

Поиск по полям с идентификаторами возможен только с помощью идентификаторов.

Чтобы настроить поля, отображаемые в таблице событий:

1. В правом верхнем углу таблицы событий нажмите значок .

   Откроется окно для выбора полей событий, которые требуется отображать в таблице событий.

2. Установите флажки напротив полей, которые требуется отображать в таблице. С помощью поля Поиск можно найти нужные поля.

   Вы можете отобразить в таблице любое поле события из модели данных событий KUMA и расширенной схемы событий. Параметры Timestamp (Время) и Name (Название) всегда отображаются в таблице. С помощью кнопки По умолчанию можно вернуть исходные настройки отображения таблицы событий.

   Когда вы устанавливаете флажок, таблица событий обновляется и добавляется новый столбец. При снятии флажка столбец исчезает.

   Столбец можно удалить из таблицы событий, если нажать на его заголовок и в раскрывающемся списке выбрать Скрыть столбец.

3. При необходимости измените порядок отображения столбцов, перетаскивая заголовки столбцов в таблице событий.
4. Если вы хотите сортировать события по определенному столбцу, нажмите на его заголовок и в раскрывающемся списке выберите один из вариантов: По возрастанию или По убыванию.

Выбранные поля событий отобразятся в таблице раздела События в качестве столбцов в указанном вами порядке.

Обновление таблицы событий

Таблицу событий можно обновлять, перегружая страницу веб-браузера. Можно также настроить автоматическое обновление таблицы событий, установив частоту обновления. По умолчанию автоматическое обновление отключено.

Чтобы включить автоматическое обновление,

Выберите частоту обновления в раскрывающемся списке в верхней правой части раздела События:

• 5 секунд
• 15 секунд
• 30 секунд
• 1 минута
• 5 минут
• 15 минут

Таблица событий обновляется автоматически.

Чтобы выключить автоматические обновление,

В раскрывающемся списке частоты обновления в верхней правой части раздела События выберите Не обновлять.

Получение статистики по событиям в таблице

Вы можете получить статистику по текущей выборке событий, отображаемой в таблице событий. Выборка событий зависит от параметров фильтрации.

Чтобы получить статистику:

в правом верхнем углу таблицы событий в раскрывающемся списке выберите Статистика или в таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.

Появится область деталей Статистика со списком параметров текущей выборки событий. Числа возле каждого параметра указывают количество событий в выборке, для которых задан этот параметр. Если параметр раскрыть, отображается его пять наиболее частых значений. С помощью поля Поиск полей можно найти нужные параметры.

В отказоустойчивой конфигурации для всех полей событий, которые содержат FQDN Ядра, в разделе Статистика будет отображаться не FQDN, а core.

В окне Статистика можно менять фильтр событий.

При использовании для фильтрации событий SQL-запросов с группировкой и агрегацией данных статистика недоступна.

Просмотр информации о корреляционном событии

Вы можете просматривать подробные сведения о корреляционном событии в окне Информация о корреляционном событии.

Чтобы просмотреть информацию о корреляционном событии:

1. В разделе События веб-интерфейса KUMA нажмите на корреляционное событие.

   Вы можете использовать фильтры для поиска корреляционных событий, присвоив значение correlated параметру Type.

   Откроется область деталей выбранного события. Если выбранное событие является корреляционным, в нижней части области деталей будет отображаться кнопка Подробные сведения.

2. Нажмите на кнопку Подробные сведения.

Откроется окно корреляционного события. Название события отображается в левом верхнем углу окна.

В разделе Информация о корреляционном событии окна корреляционного события отображаются следующие данные:

• Уровень важности корреляционного события  – важность корреляционного события.
• Правило корреляции – название правила корреляции, которое породило корреляционное событие. Название правила представлено в виде ссылки, по которой можно перейти к настройкам этого правила корреляции.
• Уровень важности правила корреляции – важность правила корреляции, вызвавшего корреляционное событие.
• Идентификатор правила корреляции – идентификатор правила корреляции, которое породило корреляционное событие.
• Тенант – название тенанта, которому принадлежит корреляционное событие.

Раздел Связанные события окна корреляционного события содержит таблицу событий, относящихся к корреляционному событию. Это базовые события, в результате обработки которых было создано корреляционное событие. При выборе события в правой части окна веб-интерфейса открывается область деталей.

Ссылка Найти в событиях справа от заголовка раздела используется для расследования алерта.

Раздел Связанные активы окна корреляционного события содержит таблицу узлов, относящихся к корреляционному событию. Эта информация поступает из базовых событий, связанных с корреляционным событием. При нажатии на название актива открывается окно Информация об активе.

Раздел Связанные пользователи окна корреляционного события содержит таблицу пользователей, относящихся к корреляционному событию. Эта информация поступает из базовых событий, связанных с корреляционным событием.

Формирование SQL-запроса с помощью SQL-функций KUMA

SQL-функции KUMA позволяют использовать атрибуты активов и учетных записей в поисковых запросах для фильтрации событий, формирования отчетов и виджетов (тип графика: Таблица). Вы можете обогащать события, используя данные словарей, таблиц, активов и учетных записей с помощью следующих наборов функций:

• Набор функций enrich. Позволяет обогатить результаты запроса полями актива, учетной записи, значениями из словаря с типом Словарь и словаря с типом Таблица. Набор функций enrich включает в себя следующие функции:
  • enrich_assets;
  • enrich_accounts;
  • enrich_table;
  • enrich_dictionary.
• Набор функций lookup. Позволяет добавить в поисковый запрос условия по активам и учетным записям. Набор функций lookup включает в себя следующие функции:
  • lookup_assets;
  • lookup_accounts;
  • lookup_assets_category.

Максимальное количество событий в одном запросе – 10 000.

Использование набора функций enrich в SQL-запросах

Набор функций enrich (см. таблицу ниже) применяется в блоке SELECT SQL-запроса для обогащения результатов.

При использовании этого набора функций вы не можете группировать события по обогащенным полям.

Обогащаемые функциями виджеты и отчеты должны принадлежать не более чем одному тенанту.

Значения полей актива, которые указываются в SQL-запросах, являются регистрозависимыми.

Описание набора функций enrich

Использование набора функций lookup в SQL-запросах

Набор функций lookup (см. таблицу ниже) применяется в блоке WHERE SQL-запроса для добавления в поисковый запрос условий по активам и учетным записям.

Описание набора функций lookup

Отслеживание маршрута событий

Чтобы выяснить, от какого подключения поступили события, вы можете использовать параметр Отслеживать маршрут события. Необходимость отслеживать маршрут события может возникать, когда несколько агентов отправляют события в один и тот же коллектор, например в крупной инфраструктуре, где агенты устанавливаются на выделенные серверы WEC и несколько агентов передают события в один и тот же коллектор. Данные о маршруте события могут быть полезны для диагностики проблем с поступлением событий.

Чтобы переключатель Отслеживать маршрут события стал доступен для использования, в агенте следует указать как минимум одну точку назначения с типом internal. Также для отслеживания маршрута событий необходимо, чтобы в коллекторе, который принимает события от агента, был указан коннектор типа internal. После настройки и сохранения агента информация о маршруте агента будет добавлена в поле расширенной схемы событий S.KL_EventRoute.

Поле S.KL_EventRoute появится только для новых событий, которые поступили в коллектор после включения параметра Отслеживать маршрут события. Другие сервисы, через которые проходит событие, включая коллектор, коррелятор (только правила корреляции типа simple), маршрутизатор анализируют поле S.KL_EventRoute, и, если поле не пустое, при обработке события дописывают свои данные в поле.

Если между сервером отправителем и агентом есть прокси, в поле S.KL_EventRoute на агенте указывается адрес прокси, а коллектор добавляет адрес прокси в начальную часть маршрута в поле S.KL.EventRoute.

Коннекторы tcp/udp/http передают по протоколу internal в поле S.KL_EventRoute адрес хоста, который прислал событие. Если между сервером отправителем и агентом был прокси, в поле S.KL_EventRoute будет указан прокси. Агенты WEC, WMI и ETW передает по протоколу internal в поле S.KL_EventRoute имя хоста Windows сервера, на котором установлен агент.

Вы можете включить отслеживание маршрута события одним из следующих способов:

• Создать новый агент, в нем указать точку назначения типа internal и включить параметр Отслеживать маршрут события.
• В существующем агенте добавить вкладку с новым подключением и на этой вкладке указать точку назначения internal. После того как вы укажете точку назначения типа internal, параметр Отслеживать маршрут события станет доступен. Переведите переключатель Отслеживать маршрут события в активное положение. После того как вы сохраните параметры агента, перезапустите агент, чтобы применить изменения.
• Отвязать автоматически созданный агент от коллектора, чтобы агент стал доступен для редактирования параметров, или дублировать автоматически созданный агент и продолжить настройку параметров в дубликате агента. После того как вы укажете точку назначения типа internal в доступном для редактирования агенте, параметр Отслеживать маршрут события станет доступен. Переведите переключатель Отслеживать маршрут события в активное положение. После того как вы сохраните параметры агента, перезапустите агент, чтобы применить изменения.

В карточке события, в карточке алерта и карточке корреляционного события появится раздел Журнал отслеживания событий. В этом разделе отображается информация из поля S.KL_EventRoute в обработанном виде. Идентификаторы сервисов преобразованы в имена сервисов в виде ссылки. Если вы нажмете на имя сервиса, в браузере откроется новая вкладка с карточкой сервиса. Если вы измените название сервиса, имя сервиса также поменяется при отображении в карточке события, причем как для новых событий, так и для уже полученных и обработанных событий. Если вы удалите сервис в разделе Активные сервисы, в карточках событий в разделе Журнал отслеживания событий вместо гиперссылки будет отображаться Удален. Остальные данные о маршруте не будут удалены и будут по-прежнему отображаться: тип коннектора, FQDN, значение поля SourceAddress. Чтобы просмотреть данные о маршруте в сыром виде, вы можете добавить в таблице событий столбец S.KL_EventRoute.

Использование информации о маршруте

Вы можете использовать функцию Extract from JSON или другие функции ClickHouse, чтобы получить нужные части маршрута для отладки. Подробнее о функциях см. в документации ClickHouse по ссылке: https://clickhouse.com/docs/ru/sql-reference/functions/json-functions#jsonextractstringjson-indices-or-keys

В таблице ниже приведены примеры запросов.

Если вам нужна выборка по другому значению из поля S.KL_EventRoute, вы можете посмотреть наименование необходимого параметра в таблице событий в столбце Raw, чтобы использовать его в запросе.

Категоризация событий

Категоризация позволяет описать однотипные события из разных источников с помощью специальных тегов (категорий). Это упрощает задачу поиска событий, относящихся, например, к аутентификации пользователя или выполнению команды, а также помогает в написании корреляционной логики или отображении данных на панели мониторинга или в отчетах. С помощью набора ресурсов KUMA можно выполнить категоризацию некоторых типов событий для определенных типов источников событий.

Для категоризации событий используются следующие типы ресурсов KUMA:

• словарь с категориями событий;
• правила обогащения для дополнения событий информацией;
• нормализатор для создания поля расширенной схемы событий, используемого в правилах обогащения.

В процессе категоризации к событию могут быть добавлены следующие атрибуты:

• Object – объект.
• Action – действие.
• Result – результат.
• Threat – угроза.
• Source type – тип источника события.

Событию могут быть присвоены дополнительные атрибуты, которые сохраняются в поле SA.KL_EventCategory расширенной схемы событий.

Описания возможных значений атрибутов, используемых при категоризации событий, приведены в таблицах Атрибут Object, Атрибут Action, Атрибут Result, Атрибут Threat, Атрибут Source type.

Чтобы настроить категоризацию событий на коллекторе:

1. Импортируйте пакет [OOTB] Event Categorization из репозитория KUMA.
2. В коллекторе на шаге Обогащение событий примените правило обогащения событий.

   Вы можете применить правило обогащения как при создании нового коллектора, так и для уже существующего коллектора. Правило, которое необходимо применить, зависит от источника событий. Вы можете выбрать правило из таблицы Правила категоризации по источнику событий.

   Категоризация событий работает только при использовании нормализаторов, поставляемых "Лабораторией Касперского".

3. В веб-интерфейс KUMA выберите раздел Ресурсы → Активные сервисы.
4. Установите флажок рядом с измененным коллектором и нажмите на кнопку Обновить параметры.

Правило обогащения применено, категоризация событий выполняется.

Правила категоризации по источнику событий

Атрибут Object

Атрибут Action

Атрибут Result

Атрибут Threat

Атрибут Source type

Гранулярный доступ к событиям

В KUMA есть возможность обеспечить гранулярный доступ к событиям для пользователей с разными правами. Доступ к событиям регулируется на уровне пространств хранилища.

Вы можете назначить пользователям пространства в разделе Разрешения для пространств или прямо в карточке пользователя. После обновления до версии 3.4 всем существующим пользователям будет назначен набор пространств All spaces, то есть доступны все пространства без ограничений. Событие содержит идентификатор тенанта и пространства, поэтому пользователь должен обладать правами на соответствующий тенант и пространство, чтобы событие было доступно.
Следует учитывать следующие особенности отображения хранилищ:

• Если хранилища нет в разделе Активные сервисы, то хранилище и его пространства не отображаются в списке пространств набора.
• Если сервис хранилища был остановлен с помощью команды systemctl stop kuma-<идентификатор хранилища>, то хранилище и его пространства не отображаются в списке пространств набора.
• Если хранилище было запущено и далее удалено с помощью команды uninstall, то хранилище и его пространства продолжают отображаться в списке пространств набора.

В списке событий вы можете добавить в таблицу отображение поля SpaceID, в нем будет отображаться наименование пространства. Пространство событий аудита отображается как KUMA Audit. KUMA Default - пространство внутри каждого хранилища, куда передаются все события, если в хранилище отсутствуют настроенные пространства или если событие не попадает под условия наполнения существующих пространств.

При экспорте списка событий в файл TSV для пространств отображаются идентификатор и наименование пространства.

Чтобы разграничить доступ:

1. Назначьте пользователям соответствующие роли.
2. Настройте наборы пространств.

   Вы можете создать, изменить, удалить набор пространств. По результатам этих действий формируются события аудита.

3. Регулируйте права доступа к набору пространств: можно выдать или отозвать права доступа для выбранных пользователей.

Создание набора пространств

Изменение набора пространств

Удаление набора пространств

Выдать права доступа к набору пространств

Отозвать права доступа к набору пространств

Сценарии применения

Переход на версию KUMA 3.4 с возможностью разграничения доступа к событиям

Ограничение доступа к пространствам для всех пользователей

Разрешение на просмотр всех событий для некоторых пользователей

Разрешение на просмотр событий из конечного множества пространств для некоторых пользователей

Дополнение явно указанного набора пространств у пользователя

Изменение набора пространств

Удаление набора пространств

Панель мониторинга

В разделе Панель мониторинга вы можете контролировать состояние безопасности сети вашей организации.

Панель мониторинга представляет собой набор виджетов, которые отображают аналитику данных безопасности сети. Вы можете просмотреть данные только по тем тенантам, к которым вы имеете доступ.

Набор виджетов, используемых на панели мониторинга, называется макетом. Вы можете создавать макеты вручную или воспользоваться преднастроенными макетами. Параметры виджетов в преднастроенных макетах можно редактировать при необходимости. По умолчанию на панели мониторинга отображается преднастроенный макет Alerts Overview.

Создавать, редактировать и удалять макеты могут только пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня и Аналитик первого уровня. Пользователи с учетными записями всех ролей могут просматривать макеты и назначать макеты по умолчанию. Если макет назначен по умолчанию, этот макет отображается для учетной записи при каждом переходе в раздел Панель мониторинга. Выбранный макет по умолчанию сохраняется для текущей учетной записи пользователя.

Информация на панели мониторинга обновляется в соответствии с расписанием, заданным в параметрах макета. При необходимости вы можете обновить данные принудительно.

Для удобства представления данных на панели мониторинга вы можете включить режим ТВ. В этом случае вы перейдете в режим полноэкранного просмотра панели мониторинга в FullHD-разрешении. В режиме ТВ вы также можете настроить показ слайд-шоу для выбранных макетов.

Создание макета панели мониторинга

Развернуть всё | Свернуть всё

Чтобы создать макет:

1. Откройте веб-интерфейс KUMA и выберите раздел Панель мониторинга.
2. Откройте раскрывающийся список в правом верхнем углу окна Панель мониторинга и выберите Создать макет.

   Откроется окно Новый макет.

3. В раскрывающемся списке Тенанты выберите тенантов, которым будет принадлежать создаваемый макет и данными из которых будут наполняться виджеты макета.

   Выбор тенантов в этом раскрывающемся списке не имеет значения, если вы хотите создать универсальный макет (см. ниже).

4. В раскрывающемся списке Период выберите период, по которому требуется аналитика, одним из следующих способов:
   • Если вы хотите указать точную дату, в календаре слева выберите даты начала и окончания периода и нажмите на кнопку Применить.

     Вы можете выбрать дату до текущей включительно. Формат даты и времени зависит от параметров вашего браузера. Если в поле Дата от или Дата до есть значение и вы не меняли вручную значение времени, при выборе даты в календаре в поле Дата от автоматически подставится время 00:00:00.000, а в поле Дата до – 23:59:59.999. Если вы вручную удалили значение в поле Дата от или Дата до, при выборе даты в календаре в поле автоматически подставится текущее время. После того как вы выберите значение в одном из полей, фокус переключается на другое поле. Если в поле Дата до вы выбираете значение, которое меньше значения в поле Дата от, это меньшее значение будет автоматически подставлено в поле Дата от.

   • Если вы хотите указать относительный период, выберите один из доступных периодов в списке Относительный период справа.

     Период рассчитывается относительно настоящего времени.

   • Если вы хотите задать пользовательский период, укажите или измените значение вручную в полях Дата от и Дата до.

     Вы можете указать точные дату и время в формате DD.MM.YYYY HH:mm:ss.SSS для русской локализации и YYYY-MM-DD HH:mm:ss.SSS для английской локализации или период относительно текущего времени в виде формулы. При необходимости вы также можете комбинировать эти способы. Если при вводе точной даты вы не указали миллисекунды, значение 000 подставляется автоматически. Если вы вручную изменили время в полях Дата от или Дата до, при переключении даты в календаре значение времени не меняется.

     В формулах относительного периода используйте параметр now для обозначения текущих даты и времени и язык параметризации интервалов: символы + (только в поле Дата до), -, / (округление до ближайшего), а также единицы изменения времени y (год), M (месяц), w (неделя), d (день), h (час), m (минута), s (секунда). Например, вы можете указать период now-5d, чтобы получить данные за последние пять дней, или now/w, чтобы получить данные с начала первого дня текущей недели (00:00:00:000 в UTC) до текущего времени now.

     Поле Дата от является обязательным, и его значение не может превышать значение, установленное в поле Дата до, а также не может быть меньше 01.01.1970 (при указании точной даты или относительного периода). Значение в поле Дата до не должно быть меньше значения, установленного в поле Дата от. Если вы не укажете значение в поле Дата до, параметр now указывается автоматически.

   По умолчанию выбран относительный период 1 день (now-1d). Границы периода включаются: например, для периода Сегодня отобразятся события с начала сегодняшнего дня 00:00:00:000 в UTC до текущего времени now включительно, а для периода Вчера – с начала вчерашнего дня 00:00:00:000 до 00:00:00:000 сегодняшнего дня в UTC.

   Время в KUMA хранится в UTC, но в интерфейсе оно конвертируется в соответствии с часовым поясом вашего браузера. Это нужно учитывать для относительных периодов Сегодня, Вчера, Эта неделя и Этот месяц. Например, если в браузере установлен часовой пояс UTC+3 и вы выбрали период отображения данных Сегодня, данные будут отображаться за период с 03:00:00.000 до текущего времени, а не с 00:00:00.000.

   Если при выборе относительного периода Сегодня, Вчера, Эта неделя или Этот месяц вы хотите отобразить данные в соответствии с вашим часовым поясом, вам нужно вручную добавить сдвиг по времени в поля Дата от и Дата до (если указано значение кроме now), прибавив или убавив необходимое количество часов. Например,если в браузере установлен часовой пояс UTC+3 и вы хотите отобразить данные за период Вчера, вам нужно изменить значение в поле Дата от на now-1d/d-3h, а в поле Дата до – на now/d-3h. Если же вы хотите отобразить данные за период Сегодня, вам нужно изменить значение только в поле Дата от на now/d-3h.

   Если вам нужны результаты до 23:59:59:999 в UTC вчерашнего дня, то используйте SQL-запрос с фильтром по Timestamp или укажите точные дату и время.

5. В раскрывающемся списке Обновлять каждые выберите частоту обновления данных в виджетах макета:
   • никогда – не обновлять данные в виджетах макета.
   • 1 минута.
   • 5 минут.
   • 15 минут.
   • 1 час (это значение выбрано по умолчанию).
   • 3 часа.
   • 6 часов.
   • 12 часов.
   • 24 часа

   В раскрывающемся списке Добавить виджет выберите требуемый виджет и настройте его параметры. Вы можете добавить несколько виджетов. Виджеты можно перетаскивать по окну и изменять их размер с помощью кнопки диагонали (), которая появляется при наведении указателя мыши на виджет.

   Для виджетов с типами графиков Круговая диаграмма, Столбчатая диаграмма, Линейная диаграмма, Счетчик и Календарная диаграмма существуют следующие ограничения:

   • В запросах SELECT можно использовать поля расширенной схемы событий с типами Строка, Число и Число с плавающей точкой.
   • В запросах WHERE можно использовать поля расширенной схемы событий со всеми типами (Строка, Число, Число с плавающей точкой, Массив строк, Массив чисел и Массив чисел с плавающей точкой).

   Для виджетов с типом графика Таблица в запросах SELECT можно использовать поля расширенной схемы событий со всеми типами (Строка, Число, Число с плавающей точкой, Массив строк, Массив чисел и Массив чисел с плавающей точкой).

   Вы можете выполнять следующие действия с виджетами:

   • Добавлять виджеты.

     Чтобы добавить виджет:

     1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     2. Настройте параметры виджета и нажмите Добавить.
   • Редактировать виджеты.

     Чтобы отредактировать виджет:

     1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок шестеренки ().
     2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     3. Измените параметры виджета и нажмите Сохранить.

   Вы можете редактировать и удалять добавленные виджеты, наведя на них курсор мыши, нажав появившийся значок шестеренки (), после чего выбрав Изменить или Удалить.

6. В поле Название макета введите уникальное имя макета. Должно содержать от 1 до 128 символов в кодировке Unicode.
7. При необходимости нажмите на значок шестеренки () справа от поля названия макета и установите флажки напротив дополнительных параметров макета:
   • Универсальный – если вы установите этот флажок, в виджетах макета будут отображаться данные из тенантов, которых вы выберите в разделе Выбрано тенантов, расположенном в меню слева. Это означает, что данные в виджетах макета будут меняться в зависимости от выбранных вами тенантов, при этом вам не придется редактировать параметры макета. Для универсальных макетов тенанты, выбранные в раскрывающемся списке Тенанты, не учитываются.

     Если флажок не установить, в виджетах макета будут отображаться данные из тенантов, выбранных в раскрывающемся списке Тенанты в параметрах макета. Если какие-либо из выбранных в макете тенантов вам недоступны, их данные не будут отображаться в виджетах макета.

     В универсальных макетах невозможно использовать виджет активные листы и контекстные таблицы.

     Универсальные макеты могут создавать и редактировать только главные администраторы. Просматривать такие макеты могут все пользователи.

   • Отображать данные по КИИ – если вы установите этот флажок, в виджетах макета будут в том числе отображаться данные об активах, алертах и инцидентах, имеющих отношение к критической информационной инфраструктуре (КИИ). При этом такие макеты будут доступы для просмотра только пользователям, в параметрах которых установлен флажок Доступ к объектам КИИ.

     Если флажок не установить, в виджетах макета не будут отображаться данные об активах, алертах и инцидентах, относящихся к КИИ, даже если у пользователя есть доступ к объектам КИИ.

8. Нажмите Сохранить.

Новый макет создан и отображается в разделе Панель мониторинга веб-интерфейса KUMA.

Выбор макета панели мониторинга

Чтобы выбрать макет панели мониторинга:

1. Раскройте список в верхнем правом углу окна Панель мониторинга.
2. Выберите нужный макет.

Выбранный макет отобразится в разделе Панель мониторинга веб-интерфейса KUMA.

Выбор макета панели мониторинга в качестве макета по умолчанию

Чтобы выбрать макет, который будет отображаться на панели мониторинга по умолчанию:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. Раскройте список в верхнем правом углу окна Панель мониторинга.
3. Наведите указатель мыши на требуемый макет.
4. Нажмите на значок .

Выбранный макет будет отображаться на панели мониторинга по умолчанию.

Редактирование макета панели мониторинга

Чтобы отредактировать макет панели мониторинга:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. Раскройте список в верхнем правом углу окна.
3. Наведите указатель мыши на требуемый макет.
4. Нажмите на значок .

   Откроется окно Настройка макета.

5. Внесите необходимые изменения. Параметры, доступные для изменения, аналогичны параметрам, доступным при создании макета.
6. Нажмите на кнопку Сохранить.

Макет панели мониторинга будет отредактирован и отобразится в разделе Панель мониторинга веб-интерфейса KUMA.

Если макет был удален или присвоен другому тенанту, пока вы вносили в него изменения, при нажатии на кнопку Сохранить отобразится ошибка. Макет не будет сохранен. Обновите страницу веб-интерфейса KUMA, чтобы в раскрывающемся списке просмотреть перечень доступных макетов.

Удаление макета панели мониторинга

Чтобы удалить макет:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. Раскройте список в верхнем правом углу окна.
3. Наведите указатель мыши на требуемый макет.
4. Нажмите на значок и подтвердите действие.

Макет будет удален.

Включение и отключение режима ТВ

Мы рекомендуем для отображения аналитики в режиме ТВ создать отдельного пользователя с минимально необходимым набором прав.

Чтобы включить режим ТВ:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. В правом верхнем углу нажмите на кнопку .

   Откроется окно Параметры.

3. Переведите переключатель Режим ТВ в положение Включено.
4. Если вы хотите настроить показ макетов в режиме слайд-шоу, выполните следующие действия:
   1. Переведите переключатель Слайд-шоу в положение Включено.
   2. В поле Время ожидания укажите, через сколько секунд должно происходить переключение макетов.
   3. В раскрывающемся списке Очередь выберите макеты для просмотра. Если не выбран ни один макет, в режиме слайд-шоу будут по очереди отображаться все макеты, доступные пользователю.
   4. Если требуется, измените порядок показа макетов, перетаскивая их с помощью кнопки .
5. Нажмите на кнопку Сохранить.

Режим ТВ будет включен. Чтобы вернуться к работе с веб-интерфейсом KUMA, нужно отключить режим ТВ.

Чтобы отключить режим ТВ:

1. Откройте веб-интерфейс KUMA и выберите раздел Панель мониторинга.
2. В правом верхнем углу нажмите на кнопку .

   Откроется окно Параметры.

3. Переведите переключатель Режим ТВ в положение Выключено.
4. Нажмите на кнопку Сохранить.

Режим ТВ будет отключен. В левой части экрана отобразится панель с разделами веб-интерфейса KUMA.

При внесении изменений в макеты, выбранные для слайд-шоу, эти изменения будут автоматически отображаться в активных сессиях слайд-шоу.

Предустановленные макеты панели мониторинга

KUMA поставляется с набором предустановленных макетов. По умолчанию для предустановленных макетов указан период обновления Никогда. Вы можете редактировать эти макеты при необходимости.

Предустановленные макеты

*Панели мониторинга доступны начиная с KUMA 3.4.1. Виджеты будут корректно отображать информацию при использовании нормализатора [OOTB] KSMG 2.1+ syslog CEF.

Отчеты

Вы можете настроить регулярное формирование отчетов о состоянии процессов и объектов в KUMA.

Отчеты формируются с помощью шаблонов отчетов. Шаблоны отчетов находятся в разделе Отчеты на вкладке Шаблоны.

Сформированные отчеты хранятся в разделе Отчеты на вкладке Сформированные отчеты.

Чтобы сохранять сформированные отчеты в форматах HTML и PDF необходимо установить требуемые пакеты на устройстве с Ядром KUMA.

При развертывании KUMA в отказоустойчивом варианте временная зона сервера Ядра KUMA и время в браузере пользователя могут различаться. Это различие проявляется в расхождении времени, которое проставляется в отчетах, сформированных по расписанию, и данных, которые пользователь может экспортировать из виджетов. Чтобы избежать расхождения, рекомендуется настроить расписание формирования отчетов с учетом разницы временной зоны пользователей и временем UTC.

Шаблон отчета

Шаблоны отчетов используются для указания аналитических данных, которые следует включать в отчет, а также для настройки частоты создания отчетов. Пользователи с ролью Главного администратора, Администратора тенанта, Аналитика второго уровня и Аналитика первого уровня могут создавать, редактировать и удалять шаблоны отчетов. Отчеты, созданные с использованием шаблонов отчетов, отображаются на вкладке Сформированные отчеты.

Шаблоны отчетов доступны на вкладке Шаблоны раздела Отчеты, где отображается таблица существующих шаблонов. В таблице есть следующие столбцы:

• Название – имя шаблона отчетов.

  Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

  Вы также можете искать шаблоны отчетов, используя поле Поиск, которое открывается по нажатию на заголовок столбца Название.

  При поиске шаблонов отчетов используются регулярные выражения.

• Расписание – периодичность, с которой отчеты должны формироваться по созданным шаблонам. Если расписание отчета не настроено, отображается значение выключено.
• Создал – имя пользователя, создавшего шаблон отчета.
• Последнее обновление – дата последнего обновления шаблона отчета.

  Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

• Последний отчет – дата и время формирования последнего отчета по шаблону отчета.
• Отправить по электронной почте – в этом столбце отображается метка напротив шаблонов отчетов, для которых настроено уведомление пользователей по почте о сформированных отчетах.
• Тенант – название тенанта, которому принадлежит шаблон отчета.

Вы можете нажать имя шаблона отчета, чтобы открыть раскрывающийся список с доступными командами:

• Создать отчет – используйте эту команду, чтобы немедленно сформировать отчет. Созданные отчеты отображаются на вкладке Сформированные отчеты.
• Изменить расписание – используйте эту команду, чтобы настроить расписание для формирования отчетов и определить пользователей, которые должны получать уведомления по электронной почте о сформированных отчетах.
• Изменить шаблон отчета – используйте эту команду, чтобы настроить виджеты и период времени, за который должна быть извлечена аналитика.
• Дублировать шаблон отчета – используйте эту команду, чтобы создать копию существующего шаблона отчета.
• Удалить шаблон отчета – используйте эту команду, чтобы удалить шаблон отчета.

Создание шаблона отчета

Развернуть всё | Свернуть всё

Чтобы создать шаблон отчета:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. Нажмите на кнопку Новый шаблон.

   Откроется окно Новый шаблон отчета.

3. В раскрывающемся списке Тенанты выберите один или несколько тенантов, которым будет принадлежать создаваемый макет.
4. В раскрывающемся списке Период выберите период, по которому требуется аналитика, одним из следующих способов:
   • Если вы хотите указать точную дату, в календаре слева выберите даты начала и окончания периода и нажмите на кнопку Применить.

     Вы можете выбрать дату до текущей включительно. Формат даты и времени зависит от параметров вашего браузера. Если в поле Дата от или Дата до есть значение и вы не меняли вручную значение времени, при выборе даты в календаре в поле Дата от автоматически подставится время 00:00:00.000, а в поле Дата до – 23:59:59.999. Если вы вручную удалили значение в поле Дата от или Дата до, при выборе даты в календаре в поле автоматически подставится текущее время. После того как вы выберите значение в одном из полей, фокус переключается на другое поле. Если в поле Дата до вы выбираете значение, которое меньше значения в поле Дата от, это меньшее значение будет автоматически подставлено в поле Дата от.

   • Если вы хотите указать относительный период, выберите один из доступных периодов в списке Относительный период справа.

     Период рассчитывается относительно настоящего времени.

   • Если вы хотите задать пользовательский период, укажите или измените значение вручную в полях Дата от и Дата до.

     Вы можете указать точные дату и время в формате DD.MM.YYYY HH:mm:ss.SSS для русской локализации и YYYY-MM-DD HH:mm:ss.SSS для английской локализации или период относительно текущего времени в виде формулы. При необходимости вы также можете комбинировать эти способы. Если при вводе точной даты вы не указали миллисекунды, значение 000 подставляется автоматически. Если вы вручную изменили время в полях Дата от или Дата до, при переключении даты в календаре значение времени не меняется.

     В формулах относительного периода используйте параметр now для обозначения текущих даты и времени и язык параметризации интервалов: символы + (только в поле Дата до), -, / (округление до ближайшего), а также единицы изменения времени y (год), M (месяц), w (неделя), d (день), h (час), m (минута), s (секунда). Например, вы можете указать период now-5d, чтобы получить данные за последние пять дней, или now/w, чтобы получить данные с начала первого дня текущей недели (00:00:00:000 в UTC) до текущего времени now.

     Поле Дата от является обязательным, и его значение не может превышать значение, установленное в поле Дата до, а также не может быть меньше 01.01.1970 (при указании точной даты или относительного периода). Значение в поле Дата до не должно быть меньше значения, установленного в поле Дата от. Если вы не укажете значение в поле Дата до, параметр now указывается автоматически.

   По умолчанию выбран относительный период 1 день (now-1d). Границы периода включаются: например, для периода Сегодня отобразятся события с начала сегодняшнего дня 00:00:00:000 до текущего времени now включительно, а для периода Вчера – с начала вчерашнего дня 00:00:00:000 до 00:00:00:000 сегодняшнего дня.

   Время в KUMA хранится в UTC, но в интерфейсе оно конвертируется в соответствии с часовым поясом вашего браузера. Это нужно учитывать для относительных периодов Сегодня, Вчера, Эта неделя и Этот месяц. Например, если в браузере установлен часовой пояс UTC+3 и вы выбрали период отображения данных Сегодня, данные будут отображаться за период с 03:00:00.000 до текущего времени, а не с 00:00:00.000.

   Если при выборе относительного периода Сегодня, Вчера, Эта неделя или Этот месяц вы хотите отобразить данные в соответствии с вашим часовым поясом, вам нужно вручную добавить сдвиг по времени в поля Дата от и Дата до (если указано значение кроме now), прибавив или убавив необходимое количество часов. Например,если в браузере установлен часовой пояс UTC+3 и вы хотите отобразить данные за период Вчера, вам нужно изменить значение в поле Дата от на now-1d/d-3h, а в поле Дата до – на now/d-3h. Если же вы хотите отобразить данные за период Сегодня, вам нужно изменить значение только в поле Дата от на now/d-3h.

   Если вам нужны результаты до 23:59:59:999 в UTC вчерашнего дня, то используйте SQL-запрос с фильтром по Timestamp или укажите точные дату и время.

5. В поле Срок хранения укажите, на протяжении какого времени следует хранить сформированные по этому шаблону отчеты.
6. В поле Название шаблона введите уникальное название шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.

   В раскрывающемся списке Добавить виджет выберите требуемый виджет и настройте его параметры. Вы можете добавить несколько виджетов. Виджеты можно перетаскивать по окну и изменять их размер с помощью кнопки диагонали (), которая появляется при наведении указателя мыши на виджет.

   Для виджетов с типами графиков Круговая диаграмма, Столбчатая диаграмма, Линейная диаграмма, Счетчик и Календарная диаграмма существуют следующие ограничения:

   • В запросах SELECT можно использовать поля расширенной схемы событий с типами Строка, Число и Число с плавающей точкой.
   • В запросах WHERE можно использовать поля расширенной схемы событий со всеми типами (Строка, Число, Число с плавающей точкой, Массив строк, Массив чисел и Массив чисел с плавающей точкой).

   Для виджетов с типом графика Таблица в запросах SELECT можно использовать поля расширенной схемы событий со всеми типами (Строка, Число, Число с плавающей точкой, Массив строк, Массив чисел и Массив чисел с плавающей точкой).

   Вы можете выполнять следующие действия с виджетами:

   • Добавлять виджеты.

     Чтобы добавить виджет:

     1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     2. Настройте параметры виджета и нажмите Добавить.
   • Редактировать виджеты.

     Чтобы отредактировать виджет:

     1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок шестеренки ().
     2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     3. Измените параметры виджета и нажмите Сохранить.

   Вы можете редактировать и удалять добавленные виджеты, наведя на них курсор мыши, нажав появившийся значок шестеренки (), после чего выбрав Изменить или Удалить.

7. При необходимости можно поменять логотип шаблона отчетов с помощью кнопки Загрузить логотип.

   Если нажать на кнопку Загрузить логотип, открывается окно загрузки, в котором можно указать файл изображения для логотипа. Изображение должно быть файлом .jpg, .png или .gif размером не более 3 МБ.

   Добавленный логотип будет отображаться в отчете вместо логотипа KUMA.

8. При необходимости установите флажок Отображать данные по КИИ, чтобы в виджетах макета в том числе отображались данные об активах, алертах и инцидентах, имеющих отношение к критической информационной инфраструктуре (КИИ). При этом такие макеты будут доступы для просмотра только пользователям, в параметрах которых установлен флажок Доступ к объектам КИИ.

   Если флажок не установить, в виджетах макета не будут отображаться данные об активах, алертах и инцидентах, относящихся к КИИ, даже если у пользователя есть доступ к объектам КИИ.

9. Нажмите Сохранить.

Новый шаблон отчета создан и отображается в вкладке Отчеты → Шаблоны веб-интерфейса KUMA. Вы можете сформировать этот отчет вручную. Если вы хотите, чтобы отчеты создавались автоматически, требуется настроить расписание.

Настройка расписания отчетов

Чтобы настроить расписание отчетов:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Изменить расписание.

   Откроется окно Параметры отчета.

3. Если вы хотите, чтобы отчет формировался регулярно:
   1. Включите переключатель Расписание.

      В группе настроек Повторять каждый задайте периодичность создания отчетов.

      Периодичность формирования отчетов можно указать по дням, неделям, месяцам или годам. В зависимости от выбранного периода требуется задать время, день недели, число месяца или дату формирования отчета.

   2. В поле Время укажите время, когда должен быть сформирован отчет. Вы можете ввести значение вручную или с помощью значка часов.
4. Чтобы выбрать формат отчетов и указать адресатов для рассылки, настройте следующие параметры:
   1. В группе настроек Отправить нажмите Добавить.
   2. В открывшемся окне Добавление адресов электронной почты в разделе Группы пользователей нажмите Добавить группу.
   3. В появившемся поле укажите адрес электронной почты и нажмите Enter или щелкните вне поля ввода - адрес электронной почты будет добавлен. Можно добавить несколько адресов. Отчеты будут отправлены по указанным адресам каждый раз, когда вы сформируете отчет вручную или KUMA сформирует отчет автоматически по расписанию.

      Чтобы сформированные отчеты можно было отправлять по электронной почте, следует настроить SMTP-соединение.

      Если адресаты, которым отчет пришел на почту, являются пользователями KUMA, они смогут скачать отчет или просмотреть отчет по ссылкам из письма. Если адресаты не являются пользователями KUMA, переход по ссылкам будет доступен, но авторизоваться в KUMA адресаты не смогут, поэтому им будут доступны только вложения.

      Мы рекомендуем просматривать отчеты в формате HTML по ссылкам в веб-интерфейсе, поскольку при некоторых значениях разрешения экрана HTML-отчет из вложения может отображаться некорректно.

      Вы можете отправить письмо без вложений, тогда адресатам будут доступны отчеты только по ссылкам и только с авторизацией в KUMA, без ограничений по ролям или тенантам.

   4. В раскрывающемся списке выберите формат отчета для отправки. Доступные форматы: PDF, HTML,
      CSV, разделенный CSV

      

      Отчет в формате CSV содержит все виджеты в одном файле.

      Разделенный CSV позволяет выгрузить отдельные виджеты в отдельные файлы и объединить эти файлы в архив для дальнейшей рассылки по указанным адресам электронной почты.

      

      Отчет в формате CSV содержит все виджеты в одном файле.

      Разделенный CSV позволяет выгрузить отдельные виджеты в отдельные файлы и объединить эти файлы в архив для дальнейшей рассылки по указанным адресам электронной почты.

      

      Отчет в формате CSV содержит все виджеты в одном файле.

      Разделенный CSV позволяет выгрузить отдельные виджеты в отдельные файлы и объединить эти файлы в архив для дальнейшей рассылки по указанным адресам электронной почты.

      , Excel.
5. Нажмите Сохранить.

Расписание отчетов настроено.

Изменение шаблона отчета

Чтобы изменить шаблон отчета:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Изменить шаблон отчета.

   Откроется окно Изменить шаблон отчета.

   Это окно также можно открыть на вкладке Отчеты → Сформированные отчеты, нажав имя существующего отчета и выбрав в раскрывающемся списке Изменить шаблон отчета.

3. Внесите необходимые изменения:
   • Измените список тенантов, которым принадлежит шаблон отчета.
   • Обновите период времени, за который вам требуется аналитика.
   • Добавьте виджеты

     Чтобы добавить виджет:

     1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     2. Настройте параметры виджета и нажмите Добавить.
   • Измените расположение виджетов, перетаскивая их.
   • Измените размер виджетов с помощью кнопки диагонали (), которая появляется при наведении указателя мыши на виджет.
   • Отредактируйте виджеты

     Чтобы отредактировать виджет:

     1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок шестеренки ().
     2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     3. Измените параметры виджета и нажмите Сохранить.
   • Удалите виджеты, наведя на них указатель мыши, а затем нажав на появившийся значок шестеренки () и выбрав Удалить.
   • В поле справа от раскрывающегося списка Добавить виджет введите уникальное имя шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.
   • Измените логотип отчета, загрузив его с помощью кнопки Загрузить логотип. Если в шаблоне уже есть логотип, его предварительно потребуется удалить.
   • Измените срок хранения отчетов, сформированных по этому шаблону.
   • При необходимости установите или снимите флажок Отображать данные по КИИ.
4. Нажмите Сохранить.

Шаблон отчета изменен и отображается на вкладке Отчеты → Шаблоны веб-интерфейса KUMA.

Копирование шаблона отчета

Чтобы создать копию шаблона отчета:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Дублировать шаблон отчета.

   Откроется окно Новый шаблон отчета. Название виджета изменено на <Шаблон отчета> - копия.

3. Внесите необходимые изменения:
   • Измените список тенантов, которым принадлежит шаблон отчета.
   • Обновите период времени, за который вам требуется аналитика.
   • Добавьте виджеты

     Чтобы добавить виджет:

     1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     2. Настройте параметры виджета и нажмите Добавить.
   • Измените расположение виджетов, перетаскивая их.
   • Измените размер виджетов с помощью кнопки диагонали (), которая появляется при наведении указателя мыши на виджет.
   • Отредактируйте виджеты

     Чтобы отредактировать виджет:

     1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок шестеренки ().
     2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     3. Измените параметры виджета и нажмите Сохранить.
   • Удалите виджеты, наведя на них указатель мыши, а затем нажав на появившийся значок шестеренки () и выбрав Удалить.
   • В поле справа от раскрывающегося списка Добавить виджет введите уникальное имя шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.
   • Измените логотип отчета, загрузив его с помощью кнопки Загрузить логотип. Если в шаблоне уже есть логотип, его предварительно потребуется удалить.
4. Нажмите Сохранить.

Шаблон отчета создан и отображается на вкладке Отчеты → Шаблоны веб-интерфейс KUMA.

Удаление шаблона отчета

Чтобы удалить шаблон отчета:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Удалить шаблон отчета.

   Откроется окно подтверждения.

3. Если вы хотите удалить только шаблон отчета, нажмите на кнопку Удалить.
4. Если вы хотите удалить шаблон отчета и все отчеты, сформированные с помощью этого шаблона, нажмите Удалить с отчетами.

Шаблон отчета удален.

Сформированные отчеты

Все отчеты формируются с помощью шаблонов отчетов. Сформированные отчеты доступны на вкладке Сформированные отчеты в разделе Отчеты и отображаются в таблице со следующими столбцами:

• Название – имя шаблона отчетов.

  Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

• Период – период времени, за который была извлечена аналитика отчета.
• Последний отчет – дата и время создания отчета.

  Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

• Тенант – название тенанта, которому принадлежит отчет.
• Пользователь – имя пользователя, который сформировал отчет вручную. Если отчет был сформирован по расписанию, значение будет пустым. Если отчет был сформирован в версии KUMA ниже 2.1, значение будет пустым.

Вы можете нажать на название отчета, чтобы открыть раскрывающийся список с доступными командами:

• Открыть отчет – используйте эту команду, чтобы открыть окно с данными отчета.
• Сохранить как – используйте эту команду, чтобы сохранить сформированный отчет в нужном формате. Доступные форматы: HTML, PDF, CSV, разделенный CSV, Excel. По умолчанию во всех форматах выводится 250 строк. Максимальное количество значений, которые могут отображаться в таблицах в форматах PDF и HTML: 500. Если вы хотите выводить в отчет более 500 строк, задайте в SQL-запросе желаемое значение параметра LIMIT и сохраните отчет в формате CSV.
• Создать отчет – используйте эту команду, чтобы немедленно сформировать отчет. Обновите окно браузера, чтобы увидеть вновь созданный отчет в таблице.
• Изменить шаблон отчета – используйте эту команду, чтобы настроить виджеты и период времени, за который должна быть извлечена аналитика.
• Удалить отчет – используйте эту команду, чтобы удалить отчет.

Просмотр отчетов

Чтобы просмотреть отчет:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Сформированные отчеты.
2. В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Открыть отчет.

   Откроется новая вкладка браузера с виджетами, отображающими аналитику отчетов. Если виджет отображает данные о событиях, алертах, инцидентах, активных листах и контекстных таблицах при нажатии на его заголовок открывается соответствующий раздел веб-интерфейса KUMA с активным фильтром и/или поисковым запросом, с помощью которых отображаются данные из виджета. К виджетам применяются ограничения по умолчанию.

   С помощью кнопки CSV данные, отображаемые на каждом виджете, можно скачать в формате CSV в кодировке UTF-8. Название скачиваемого файла имеет формат <название виджета>_<дата скачивания (ГГГГММДД)>_<время скачивания (ЧЧММСС)>.CSV.

   Если вы хотите просмотреть полные данные, выгрузите отчет в формате CSV с указанными параметрами из запроса.

3. Отчет можно сохранить в выбранном формате с помощью кнопки Сохранить как.

Создание отчетов

Вы можете создать отчет вручную или настроить расписание, чтобы отчеты создавались автоматически.

Чтобы создать отчет вручную:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Создать отчет.

   Отчет также можно создать на вкладке Отчеты → Сформированные отчеты, нажав имя существующего отчета и выбрав в раскрывающемся списке Создать отчет.

Отчет создается и помещается на вкладку Отчеты → Сформированные отчеты.

Чтобы создавать отчеты автоматически, настройте расписание отчетов.

Сохранение отчетов

Чтобы сохранить отчет в нужном формате:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Сформированные отчеты.
2. В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Сохранить как, а затем выберите нужный формат: HTML, PDF, CSV, разделенный CSV, Excel.

   Отчет сохраняется в папку загрузки, настроенную в вашем браузере.

Отчет также можно сохранить в выбранном формате при просмотре.

Удаление отчетов

Чтобы удалить отчет:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Сформированные отчеты.
2. В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Удалить отчет.

   Откроется окно подтверждения.

3. Нажмите ОК.

Виджеты

С помощью виджетов вы можете осуществлять мониторинг работы приложения. Виджеты организованы в группы, каждая из которых связана с типом аналитики, которую она предоставляет. В KUMA доступны следующие группы виджетов и виджеты:

• События – виджет для создания аналитики на основе событий.
• Активные листы – виджет для создания аналитики на основе активных листов корреляторов.
• Алерты – группа для аналитики алертов.

  В группу входят следующие виджеты:

  • Активные алерты – количество незакрытых алертов.
  • Активные алерты по тенантам – количество незакрытых алертов для каждого тенанта.
  • Алерты по тенантам – количество алертов всех статусов для каждого тенанта.
  • Неназначенные алерты – количество алертов со статусом Новый.
  • Алерты по исполнителю – количество алертов со статусом Назначен, сгруппированных по имени учетной записи.
  • Алерты по статусу – количество алертов со статусом Новый, Открыт, Назначен или Эскалирован, сгруппированных по статусу.
  • Алерты по уровню важности – количество незакрытых алертов, сгруппированных по уровню важности.
  • Алерты по правилу корреляции – количество незакрытых алертов, сгруппированных по правилам корреляции.
  • Последние алерты – таблица с информацией о последних 10 незакрытых алертах, принадлежащих выбранным в макете тенантам.
  • Распределение алертов – количество алертов, созданных в течение указанного для виджета периода.
• Активы – группа для аналитики активов из обработанных событий. В эту группу входят следующие виджеты:
  • Затронутые активы – таблица с информацией об уровне важности активов и количестве незакрытых алертов, с которыми они связаны.
  • Категории затронутых активов – категории активов, привязанных к незакрытым алертам.
  • Количество активов – количество активов, добавленных в KUMA.
  • Активы в инцидентах по тенантам – количество активов, связанных с незакрытыми инцидентами. Сгруппированы по тенантам.
  • Активы в алертах по тенантам – количество активов, связанных с незакрытыми алертами, Сгруппированы по тенантам.
• Инциденты – группа для аналитики инцидентов.

  В группу входят следующие виджеты:

  • Активные инциденты – количество незакрытых инцидентов.
  • Неназначенные инциденты – количество инцидентов со статусом Открыт.
  • Распределение инцидентов – количество инцидентов, созданных в течение указанного для виджета периода.
  • Инциденты по исполнителю – количество инцидентов со статусом Назначен, сгруппированных по имени учетной записи пользователя.
  • Инциденты по статусам – количество инцидентов, сгруппированных по статусу.
  • Инциденты по уровню важности – количество незакрытых инцидентов, сгруппированных по уровню важности.
  • Активные инциденты по тенантам – количество незакрытых инцидентов, сгруппированных по тенантам, доступным для учетной записи пользователя.
  • Все инциденты – количество инцидентов всех статусов.
  • Все инциденты по тенантам – количество инцидентов всех статусов, сгруппированных по тенантам.
  • Активы в инцидентах – количество активов, связанных с незакрытыми инцидентами.
  • Категории активов в инцидентах – категории активов, связанных с незакрытыми инцидентами.
  • Пользователи в инцидентах – пользователи, связанные с инцидентами.
  • Последние инциденты – таблица с информацией о последних 10 незакрытых инцидентах, принадлежащих выбранным в макете тенантам.
• Источники событий – группа для аналитики источников событий. В группу входят следующие виджеты:
  • Топ источников событий по количеству алертов – количество незакрытых алертов, сгруппированных по источникам событий.
  • Топ источников событий по условному рейтингу – количество событий, связанных с незакрытыми алертами. Сгруппированы по источникам событий.

    В ряде случаев количество алертов, созданных источниками, может быть искажено. Для получения точной статистики рекомендуется в правиле корреляции указать поле события Device Product в качестве уникального, а также включить хранение всех базовых событий в корреляционном событии. Правила корреляции с такими параметрами являются более ресурсоемкими.

• Пользователи – группа для аналитики о пользователях из обработанных событий. В группу входят следующие виджеты:
  • Пользователи в алертах – количество учетных записей, связанных с незакрытыми алертами.
  • Количество пользователей AD – количество учетных записей в Active Directory, полученных по LDAP в течение указанного для виджета периода.

В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.

Поиск по полям с идентификаторами возможен только с помощью идентификаторов.

Основные принципы работы с виджетами

Принцип отображения данных на виджете зависит от типа графика. В KUMA доступны следующие типы графиков:

• Круговая диаграмма ().
• Счетчик ().
• Таблица ().
• Столбчатая диаграмма ().
• Календарная диаграмма ().
• Линейная диаграмма.
• Сложенная столбчатая диаграмма.
• Спидометр.

Основные принципы работы со всеми виджетами

В левом верхнем углу виджетов отображается название виджета. По ссылке с названием виджета о событиях, алертах, инцидентах или активных листах вы можете перейти в соответствующий раздел веб-интерфейса KUMA.

Под названием виджета отображается список тенантов, для которых представлены данные.

В правом верхнем углу виджета указан период, за который отображаются данные на виджете (например, 30 дней ). При этом данные, отображающиеся в панели мониторинга, могут отставать от реального времени, так как они сохраняются в кеш. Вы можете просмотреть дату и время последнего обновления, наведя курсор на значок периода.

Если для виджета вы включили параметр Показывать данные за предыдущий период, и данные на виджете отображаются за относительный период, во всплывающей подсказке также будет отображаться предыдущий период. Предыдущий период рассчитывается относительно текущего периода как значения начала и конца текущего периода минус длительность текущего периода. Например, если данные обновляются ежедневно и отображаются за месяц, но прошли только первые 10 дней месяца, прошлым периодом будут считаться последние 10 дней прошлого месяца.

Вы можете изменить период отображения данных на виджете, нажав на значок периода и выбрав точную дату или относительный период в открывшемся окне. Если вы хотите отобразить на виджете данные за период, выбранный для макета, вы можете нажать на кнопку Сбросить. При изменении периода отображения данных на макете, также изменится отображаемый на виджете период.

Время на виджете приводится в соответствие с локальным часовым поясом, установленном в браузере.

Слева от значка периода отображается кнопка CSV. Вы можете скачать данные, которые отображаются на виджете, в формате CSV (кодировка UTF-8). Название скачиваемого файла имеет формат <название виджета>_<дата скачивания (ГГГГММДД)>_<время скачивания (ЧЧММСС)>.CSV.

Данные на виджете отображаются за выбранный в параметрах виджета или макета период только для тенантов, которые были выбраны в параметрах виджета или макета.

Основные принципы работы с графиками типа Круговая диаграмма

Под списком тенантов отображается круговая диаграмма с легендой. В легенде отображаются названия категорий, соответствующих секторам диаграммы. Щелкнув левой кнопкой мыши по категории в легенде, вы можете перейти в раздел веб-интерфейса KUMA с соответствующими данными. Данные в этом разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете.

Под значком периода отображается количество событий, активных листов, активов, алертов или инцидентов, сгруппированных по выбранным критериям за период отображения данных на виджетах.

Основные принципы работы с графиками типа Счетчик

На графиках этого типа отображается сумма выбранных данных.

Основные принципы работы с графиками типа Таблица

На графиках этого типа данные отображаются в виде таблицы.

Основные принципы работы с графиками типа Столбчатая диаграмма

Под списком тенантов отображается столбчатая диаграмма с легендой. В легенде отображаются названия категорий, соответствующих столбцам диаграммы. Щелкнув левой кнопкой мыши по категории в легенде, вы можете перейти в раздел веб-интерфейса KUMA с соответствующими данными. Данные в этом разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете.

Основные принципы работы с графиками типа Календарная диаграмма

Под списком тенантов отображается календарная диаграмма с легендой. В легенде отображаются названия категорий, соответствующих столбцам диаграммы. Щелкнув левой кнопкой мыши по категории в легенде, вы можете перейти в раздел веб-интерфейса KUMA с соответствующими данными. Данные в этом разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете.

Основные принципы работы с графиками типа Линейная диаграмма

Под списком тенантов отображается линейная диаграмма с легендой. В легенде отображаются названия категорий, соответствующих линиям на графике. Щелкнув левой кнопкой мыши по категории в легенде, вы можете перейти в раздел веб-интерфейса KUMA с соответствующими данными. Данные в этом разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете.

Основные принципы работы с графиками типа Сложенная столбчатая диаграмма

Под списком тенантов отображается сложенная столбчатая диаграмма с легендой. В легенде отображаются названия категорий, составляющих части каждого столбца. Слева от каждой категории находится флажок, с помощью которого можно скрыть или показать категорию. Количество столбцов на диаграмме соответствует количеству значений в выбранной группировке. Столбцы подписаны метками. Цвет соответствующей категории в столбце присваивается автоматически. При наведении курсора мыши на области столбца отображается подсказка со значением и описанием значения. Вы можете перейти в раздел веб-интерфейса KUMA с соответствующими данными, щелкнув левой кнопкой мыши по категории в легенде.

Столбцы имеют разную интерпретацию высоты в зависимости от значения параметра Формат:

• Если выбран формат Абсолютные значения, то высота столбцов соответствует сумме значений измеряемого показателя.
• Если выбран формат Относительные значения, %, то все столбцы имеют одинаковую высоту 100%, а размеры подкрашенных областей столбца соответствуют процентному соотношению между значениями показателя.

Если при создании пользовательского виджета на основе сложенной столбчатой диаграммы выбран параметр Показывать данные за предыдущий период и в запросе указаны стандартные псевдонимы value, category, metric, то на диаграмме отдельными столбцами показываются данные предыдущего периода. Если же в запросе вместо стандартной метрики metric применяется пользовательский расчет метрик с нестандартными псевдонимами, то параметр Показывать данные за предыдущий период не учитывается при построении диаграммы (см. примеры запросов ниже).

Особенности отображения данных в виджетах

Ограничение отображаемых данных

Для удобства восприятия информации в KUMA заданы ограничения на отображение данных в виджетах в зависимости от их типа:

• Круговая диаграмма – отображается не более 20 отсеков.
• Столбчатая диаграмма – отображается не более 40 столбцов.
• Таблица – отображается не более 500 записей.
• Календарная диаграмма – отображается не более 365 дней.

Данные, выходящие за указанные ограничения, отображаются в виджете в категории Остальное.

Все данные, по которым построена аналитика в виджете, можно скачать в формате CSV.

Суммирование данных

Формат отображения итоговой суммы данных на календарной, столбчатой и круговой диаграммах зависит от языка локализации:

• Английская локализация: порядки разделяются запятыми, дробная часть отделяется точкой.
• Русская локализация: порядки разделяются пробелами, дробная часть отделяется запятой.

Создание виджета

Вы можете создать виджет на макете панели мониторинга в процессе создания или редактирования макета.

Чтобы создать виджет:

1. Создайте макет или перейдите в режим редактирования выбранного макета.
2. Нажмите на кнопку Добавить виджет.
3. В раскрывшемся списке выберите тип виджета.

   Отобразится окно параметров виджета.

4. Задайте параметры виджета.
5. Если вы хотите просмотреть, как будут отображаться данные на виджете, нажмите на кнопку Предварительный просмотр.
6. Нажмите на кнопку Добавить.

Виджет отобразится на макете панели мониторинга.

Редактирование виджета

Чтобы изменить виджет:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. Раскройте список в верхнем правом углу окна.
3. Наведите указатель мыши на требуемый макет.
4. Нажмите на значок карандаша ().

   Откроется окно Настройка макета.

5. На виджете, который вы хотите изменить, нажмите на значок шестеренки ().
6. Выберите Изменить.

   Откроется окно параметров виджета.

7. Задайте параметры виджета.
8. Нажмите на кнопку Сохранить в окне параметров виджета.
9. Нажмите на кнопку Сохранить в окне Настройка макета.

Изменения виджета будут применены.

Удаление виджета

Чтобы удалить виджет:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. Раскройте список в верхнем правом углу окна.
3. Наведите указатель мыши на требуемый макет.
4. Нажмите на кнопку .

   Откроется окно Настройка макета.

5. На виджете, который вы хотите удалить, нажмите на кнопку .
6. Выберите Удалить.
7. В отобразившемся окне подтверждения нажмите на кнопку ОК.
8. Нажмите на кнопку Сохранить.

Виджет будет удален.

Параметры виджетов

Этот раздел содержит описание параметров всех доступных в KUMA виджетов.

Виджет События

Вы можете использовать виджет События для получения необходимой аналитики на основе SQL-запросов.

При создании этого виджета вам требуется указать значения для параметров, описанных в таблицах ниже.

Вкладка Общие

В таблице ниже представлены параметры, расположенные во вкладке .

Описание параметров

Настройка значения периода

Как создать запрос в конструкторе запросов

Пример условий поиска в конструкторе запросов

Вкладка Оси

В таблице ниже представлены параметры, расположенные во вкладке .

Вкладка отображается, если на вкладке в поле График вы выбрали одно из следующих значений: Столбчатая диаграмма, Линейная диаграмма, Календарная диаграмма.

Описание параметров

Вкладка Внешний вид

В таблице ниже представлены параметры, расположенные во вкладке .

Описание параметров

Виджет Активные листы

Вы можете использовать виджет Активные листы для получения аналитики на основе SQL-запросов.

При создании этого виджета вам требуется указать значения для параметров, описанных в таблицах ниже.

Вкладка Общие

В таблице ниже представлены параметры, значение которых требуется указать во вкладке .

Описание параметров

Вы можете получать в виджете названия тенантов, а не их идентификаторы.

Вкладка Оси

В таблице ниже представлены параметры, значение которых требуется указать во вкладке .

Вкладка отображается, если на вкладке в поле График вы выбрали значение Столбчатая диаграмма.

Описание параметров

Вкладка Внешний вид

В таблице ниже представлены параметры, значение которых требуется указать во вкладке .

Описание параметров

Виджет Контекстные таблицы

Вы можете использовать виджет Контекстные таблицы для получения аналитики на основе SQL-запросов.

При создании этого виджета вам требуется указать значения для параметров, описанных в таблицах ниже.

Вкладка Общие

В таблице ниже представлены параметры, значение которых требуется указать во вкладке .

Описание параметров

Вы можете получать в виджете названия тенантов, а не их идентификаторы.

Вкладка Оси

В таблице ниже представлены параметры, значение которых требуется указать во вкладке .

Вкладка отображается, если на вкладке в поле График вы выбрали значение Столбчатая диаграмма.

Описание параметров

Вкладка Внешний вид

В таблице ниже представлены параметры, значение которых требуется указать во вкладке .

Описание параметров

Пользовательский виджет Активы

Вы можете использовать виджет Активы → Пользовательский виджет для получения расширенной аналитики по активам из обработанных событий с помощью конструктора запросов. В запросе необходимо указать поле актива и соответствующее ему условие или набор условий, по которым должен вестись подсчет активов (ось Y). Также вы можете также указать одно или несколько дополнительных условий (категорий), по которым будет производиться сравнение количества активов для каждого поля.

При создании пользовательского виджета активов вам требуется указать значения для параметров, описанных в таблицах ниже.

Вкладка Общие

В таблице ниже описаны параметры, расположенные на вкладке .

Описание параметров

Вкладка Внешний вид

В таблице ниже описаны параметры, расположенные на вкладке .

Описание параметров

Другие виджеты

В этом разделе описываются параметры всех виджетов, кроме виджетов События и Активные листы.

Набор параметров, доступных для виджета, зависит от типа графика, который отображается на виджете. В KUMA доступны следующие типы графиков:

• Круговая диаграмма ().
• Счетчик ().
• Таблица ().
• Столбчатая диаграмма ().
• Календарная диаграмма ().
• Линейная диаграмма.
• Сложенная столбчатая диаграмма.
• Спидометр.

Параметры для круговых диаграмм

В таблице ниже представлены параметры для графиков типа Круговая диаграмма.

Описание параметров

Параметры для счетчиков

В таблице ниже представлены параметры для графиков типа Счетчик.

Описание параметров

Параметры для таблиц

В таблице ниже представлены параметры для графиков типа Таблица.

Описание параметров

Параметры для столбчатых, сложенных столбчатых и календарных диаграмм

В таблице ниже представлены параметры для графиков типа Столбчатая диаграмма и Календарная диаграмма, расположенные на вкладке .

Описание параметров

В таблице ниже представлены параметры для графиков типа Столбчатая диаграмма, Сложенная столбчатая диаграмма и Календарная диаграмма, расположенные на вкладке .

Описание параметров

Настройка значения периода

Для графиков типа Круговая диаграмма, Счетчик, Таблица, Столбчатая диаграмма, Сложенная столбчатая диаграмма, Календарная диаграмма вы можете настроить период отображения данных на виджете с помощью параметра Период. По умолчанию период отображения данных в виджете совпадает с периодом отображения данных на панели мониторинга.

Чтобы настроить период отображения данных, выполните одно из следующих действий:

• При необходимости измените дату и время в параметре Период одним из следующих способов:
  • Если вы хотите указать точную дату, в календаре слева выберите даты начала и окончания периода и нажмите на кнопку Применить.

    Вы можете выбрать дату до текущей включительно. Формат даты и времени зависит от параметров вашего браузера. Если в поле Дата от или Дата до есть значение и вы не меняли вручную значение времени, при выборе даты в календаре в поле Дата от автоматически подставится время 00:00:00.000, а в поле Дата до – 23:59:59.999. Если вы вручную удалили значение в поле Дата от или Дата до, при выборе даты в календаре в поле автоматически подставится текущее время. После того как вы выберите значение в одном из полей, фокус переключается на другое поле. Если в поле Дата до вы выбираете значение, которое меньше значения в поле Дата от, это меньшее значение будет автоматически подставлено в поле Дата от.

  • Если вы хотите указать относительный период, выберите один из доступных периодов в списке Относительный период справа.

    Период рассчитывается относительно настоящего времени.

  • Если вы хотите задать пользовательский период, укажите или измените значение вручную в полях Дата от и Дата до.

    Вы можете указать точные дату и время в формате DD.MM.YYYY HH:mm:ss.SSS для русской локализации и YYYY-MM-DD HH:mm:ss.SSS для английской локализации или период относительно текущего времени в виде формулы. При необходимости вы также можете комбинировать эти способы. Если при вводе точной даты вы не указали миллисекунды, значение 000 подставляется автоматически. Если вы вручную изменили время в полях Дата от или Дата до, при переключении даты в календаре значение времени не меняется.

    В формулах относительного периода используйте параметр now для обозначения текущих даты и времени и язык параметризации интервалов: символы + (только в поле Дата до), -, / (округление до ближайшего), а также единицы изменения времени y (год), M (месяц), w (неделя), d (день), h (час), m (минута), s (секунда). Например, вы можете указать период now-5d, чтобы получить данные за последние пять дней, или now/w, чтобы получить данные с начала первого дня текущей недели (00:00:00:000 в UTC) до текущего времени now.

    Поле Дата от является обязательным, и его значение не может превышать значение, установленное в поле Дата до, а также не может быть меньше 01.01.1970 (при указании точной даты или относительного периода). Значение в поле Дата до не должно быть меньше значения, установленного в поле Дата от. Если вы не укажете значение в поле Дата до, параметр now указывается автоматически.

  Время в KUMA хранится в UTC, но в интерфейсе оно конвертируется в соответствии с часовым поясом вашего браузера. Это нужно учитывать для относительных периодов Сегодня, Вчера, Эта неделя и Этот месяц. Например, если в браузере установлен часовой пояс UTC+3 и вы выбрали период отображения данных Сегодня, данные будут отображаться за период с 03:00:00.000 до текущего времени, а не с 00:00:00.000.

  Если при выборе относительного периода Сегодня, Вчера, Эта неделя или Этот месяц вы хотите отобразить данные в соответствии с вашим часовым поясом, вам нужно вручную добавить сдвиг по времени в поля Дата от и Дата до (если указано значение кроме now), прибавив или убавив необходимое количество часов. Например,если в браузере установлен часовой пояс UTC+3 и вы хотите отобразить данные за период Вчера, вам нужно изменить значение в поле Дата от на now-1d/d-3h, а в поле Дата до – на now/d-3h. Если же вы хотите отобразить данные за период Сегодня, вам нужно изменить значение только в поле Дата от на now/d-3h.

  Если вам нужны результаты до 23:59:59:999 вчерашнего дня в UTC, то используйте SQL-запрос с фильтром по Timestamp или укажите точные дату и время.

  Границы периода включаются: например, для периода Сегодня отобразятся события с начала сегодняшнего дня 00:00:00:000 в UTC до текущего времени now включительно, а для периода Вчера – с начала вчерашнего дня 00:00:00:000 до 00:00:00:000 в UTC сегодняшнего дня. Вы можете посмотреть дату и время последнего обновления данных и точный период, за который отображаются данные, наведя курсор на значок периода на виджете.

  Если для виджета вы включили параметр Показывать данные за предыдущий период, и данные на виджете отображаются за относительный период, во всплывающей подсказке также будет отображаться предыдущий период. Предыдущий период рассчитывается относительно текущего периода как значения начала и конца текущего периода минус длительность текущего периода. Например, если данные обновляются ежедневно и отображаются за месяц, но прошли только первые 10 дней месяца, прошлым периодом будут считаться последние 10 дней прошлого месяца.

• Если вы хотите отобразить на виджете данные за период, выбранный для макета, вы можете нажать на кнопку Сбросить. При изменении периода отображения данных на макете, также изменится отображаемый на виджете период.

Отображение названий тенантов в виджетах типа Активный лист

Если вы хотите, чтобы в виджетах типа Активные листы отображались названия тенантов, а не их идентификаторы, настройте в корреляционных правилах коррелятора функцию наполнения активного листа сведениями об использующем его тенанте.

Процесс настройки состоит из следующих этапов:

1. Экспорт списка тенантов.
2. Создание словаря типа Таблица.
3. Импорт списка тенантов, полученного на шаге 1, в словарь, созданный на шаге 2 этой инструкции.
4. Добавление в корреляционное правило локальной переменной с функцией dict для распознания имени тенанта по идентификатору.

   Пример:

   • Переменная: TenantName.
   • Значение: dict('<Название ранее созданного словаря с тенантами>', TenantID).
5. Добавление в корреляционное правило действия Установить, с помощью которого значение ранее созданной переменной будет записываться в активный лист в формате <ключ> – <значение>. В качестве ключа следует задать поле активного листа (например, Тенант), а в поле значения указать переменную (например, $TenantName).

В результате срабатывания этого правила в активный лист будет помещаться название тенанта, опознанного функцией dict по идентификатору в словаре тенантов. При создании виджетов по активным листам в виджете вместо идентификатора тенанта будет отображаться название тенанта.

Работа с алертами

Алерты создаются при получении последовательности событий, запускающей правило корреляции. Подробнее об алертах вы можете посмотреть в этом разделе.

В разделе Алерты веб-интерфейса KUMA можно просматривать и обрабатывать алерты, зарегистрированные программой. Алерты можно фильтровать. По нажатию на название алерта открывается окно со сведениями о нем.

Формат даты алерта зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

• Английская локализация: ГГГГ-ММ-ДД.
• Русская локализация: ДД.ММ.ГГГГ.

Жизненный цикл алертов

Ниже представлен жизненный цикл алерта:

1. KUMA создает алерт при срабатывании правила корреляции. Алерт именуется по породившему его правилу корреляции. Алерту присваивается статус Новый.

   Алерты в статусе Новый продолжают обновляться данными при срабатывании правил корреляции. Если статус алерта меняется на любой другой, алерт больше не обновляется новыми событиями и, если правило корреляции срабатывает снова, создается новый алерт.

2. Сотрудник службы безопасности назначает оператора для расследования алерта. Статус алерта меняется на Назначен.
3. Оператор выполняет одно из следующих действий:
   • Закрывает алерт как ложно положительный (статус алерта меняется на Закрыт).
   • Реагирует на угрозу и закрывает алерт (статус алерта меняется на Закрыт).
   • Создает на основе алерта инцидент (статус алерта меняется на В инцидент).

Наполнение алертов событиями

По умолчанию количество привязанных событий к алерту не может превышать 10 000. Когда количество событий привязанных к алерту достигает 10 000, создается новый алерт с таким же названием, но новым идентификатором. Идентификатор алерта можно просмотреть в деталях алерта. При необходимости вы можете изменить это значение в свойствах правила сегментации в поле Количество корреляционных событий. Правило сегментации при этом должно быть привязано к правилам корреляции алертов тенанта и включено.

Разделение алертов

С помощью правил сегментации поток однотипных корреляционных событий можно разделять, создавая более одного алерта.

Настройка таблицы алертов

В основной части раздела Алерты отображается таблица с информацией о зарегистрированных алертах.

В таблице алертов отображаются следующие столбцы:

• Уровень важности () – степень значимости потенциальной угрозы безопасности: критическая , высокая , средняя , низкая .
• Название – имя алерта.

  Если рядом с названием алерта отображается тег Переполнен, это означает, что размер алерта достиг или приближается к пределу и должен быть обработан как можно скорее.

• Статус – текущее состояние алерта:
  • Новый – новый, еще не обработанный алерт.
  • Назначен – алерт обработан и передан сотруднику службы безопасности для расследования или реагирования.
  • Закрыт – алерт закрыт. Алерт был ложный или угроза безопасности устранена.
  • Эскалирован – на основе этого алерта был создан инцидент.
• Назначен – имя сотрудника службы безопасности, которому алерт передан для расследования или реагирования.
• Инцидент – название инцидента, к которому привязан алерт.
• Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
• Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
• Категории – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
• Тенант – название тенанта, которому принадлежит алерт.
• КИИ – указание на то, относятся ли к алерту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

По нажатию на заголовки столбцов вы можете просмотреть инструменты для фильтрации алертов. При фильтрации алертов по какому-либо параметру соответствующий заголовок таблицы алертов подсвечивается желтым цветом.

По кнопке вы можете настроить отображаемые столбцы таблицы алертов.

В поле Поиск можно ввести регулярное выражение для поиска алертов по связанным с ними активам, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

• Активы: название, FQDN, IP-адрес.
• Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
• Корреляционные правила: название.
• Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
• Тенанты: название.

Фильтрация алертов

В KUMA в разделе Алерты можно делать выборки алертов с помощью инструментов фильтрации и сортировки.

Параметры фильтра можно сохранить. Существующие фильтры можно удалить.

Сохранение и выбор фильтра алертов

В KUMA можно сохранять изменения параметров таблицы алертов в виде фильтров. Фильтры сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA того тенанта, для которого они были созданы.

Чтобы сохранить текущие параметры фильтра:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Выберите Сохранить текущий фильтр.

   Появится поле для ввода названия нового фильтра и выбора тенанта, которому он будет принадлежать.

3. Введите название фильтра. Название должно быть уникальным для фильтров алертов, фильтров инцидентов и фильтров событий.
4. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать фильтр, и нажмите Сохранить.

Фильтр сохранен.

Чтобы выбрать ранее сохраненный фильтр:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Выберите нужный фильтр.

   Чтобы выбрать фильтр, который будет использоваться по умолчанию, поставьте в раскрывающемся списке Фильтры звездочку левее названия требуемого фильтра.

Фильтр выбран.

Чтобы сбросить текущие настройки фильтра,

откройте раскрывающийся список Фильтры и выберите Очистить фильтры.

Удаление фильтра алертов

Чтобы удалить ранее сохраненные фильтры:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Нажмите значок на фильтре, который требуется удалить.
3. Нажмите ОК.

Фильтр удален для всех пользователей KUMA.

Просмотр информации об алерте

Чтобы просмотреть информацию об алерте:

1. В окне веб-интерфейса программы выберите раздел Алерты.

   Отобразится таблица алертов.

2. Нажмите на название алерта, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией об алерте.

В верхней части окна с информацией об алерте расположена панель инструментов, а также указаны уровень важности алерта и имя пользователя, которому назначен этот алерт. В этом окне можно обработать алерт: изменить его уровень важности, назначить его пользователю, закрыть, создать на его основе инцидент.

Раздел Информация об алерте

Этот раздел позволяет просмотреть основную информацию об алерте. Он содержит следующие данные:

• Уровень важности правила корреляции – уровень важности правила корреляции, в результате срабатывания которого создан алерт.
• Наивысшая важность категории активов – самый высокий уровень важности категории активов из тех, которые принадлежат связанным с этим алертом активам. Если с алертом связано несколько активов, отображается наибольшее значение.
• Привязан к инциденту – если алерт привязан к инциденту,то отображаются название и статус алерта. Если алерт не привязан к инциденту, поле не заполнено.
• Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
• Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
• Идентификатор алерта – уникальный идентификатор алерта в KUMA.
• Тенант – название тенанта, которому принадлежит алерт.
• Правило корреляции – название правила корреляции, в результате срабатывания которого создан алерт. Название правила представлено в виде ссылки, по которой можно перейти к настройкам этого правила корреляции.
• Переполнен – тег, означающий, что размер алерта достиг или приближается к пределу объема в 16 МБ и алерт необходимо обработать. Новые события не добавляются к переполненным алертам, но по ссылке Смотреть все возможные связанные события можно отфильтровать все события, которые могли быть связаны с алертом при отсутствии переполнения.

  Быстрое переполнение алерта может означать, что неверно настроено соответствующее корреляционное правило, и это приводит к частым срабатываниям. Переполненные алерты следует обрабатывать как можно скорее, чтобы при необходимости откорректировать корреляционное правило.

Раздел Связанные события

Этот раздел содержит таблицу событий, относящихся к алерту. Если нажать на значок стрелки () рядом с правилом корреляции, отобразятся базовые события из этого правила корреляции. События можно сортировать по уровню важности и времени.

При выборе события в таблице открывается область деталей, содержащая информацию о выбранном событии. В области деталей также отображает кнопка Подробные сведения, при нажатии на которую открывается окно, содержащее информацию о корреляционном событии.

Ссылки Найти в событиях под корреляционными событиями и кнопка Найти в событиях справа от заголовка раздела используются для перехода к расследованию алерта.

С помощью кнопки Скачать события вы можете скачать информацию о связанных событиях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы, заполненные хотя бы в одном связанном событии.

Некоторые редакторы CSV-файлов воспринимают значение разделителя (например, \n) в экспортируемом из KUMA CSV-файла как перенос строки, а не как разделитель. Может быть нарушено разделение файла на строки. Если вы столкнулись с подобным, то может потребоваться дополнительное редактирование CSV-файла, полученного из KUMA.

В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.

Поиск по полям с идентификаторами возможен только с помощью идентификаторов.

Раздел Связанные активы

Этот раздел содержит таблицу активов, относящихся к алерту. Информация об активах поступает из событий, связанных с алертом. С помощью поля Поиск по IP или FQDN можно искать нужные активы. Активы можно сортировать по столбцам Количество и Актив.

В этом разделе также отображаются активы, связанные с алертом. При нажатии на название актива открывается окно Информация об активе.

С помощью кнопки Скачать активы вы можете скачать информацию о связанных активах в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Название, IP-адрес, Полное доменное имя, Категории.

Раздел Связанные пользователи

Этот раздел содержит таблицу пользователей, относящихся к алерту. Информация о пользователях поступает из событий, связанных с алертом. С помощью поля Поиск пользователей можно искать нужных пользователей. Пользователей можно сортировать по столбцам Количество, Пользователь, User principal name (Основное имя пользователя) и Адрес электронной почты.

С помощью кнопки Скачать пользователей вы можете скачать информацию о связанных пользователях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Пользователь, Имя участника-пользователя (UPN), Адрес электронной почты, Домен, Тенант.

Раздел Журнал изменений

Этот раздел содержит записи об изменениях, которые пользователи внесли в алерт. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии. Комментарии можно сортировать по столбцу Время.

При необходимости в поле Комментарий вы можете внести комментарий к алерту и нажать Добавить, чтобы сохранить его.

Изменение название алертов

Чтобы изменить название алерта:

1. В окне веб-интерфейса KUMA выберите раздел Алерты.

   Отобразится таблица алертов.

2. Нажмите на название алерта, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией об алерте.

3. В верхней части окна нажмите на значок и в открывшемся поле введите новое название алерта. Подтвердите название, нажав ENTER или щелкнув вне поля ввода.

Название алерта изменено.

Обработка алертов

Вы можете изменить уровень важности алерта, назначить алерт пользователю, закрыть алерт или создать на основе алерта инцидент.

Чтобы обработать алерт:

1. Выберите необходимые алерты одним из следующих способов:
   • В разделе Алерты веб-интерфейса KUMA нажмите на алерт, сведения о котором вы хотите просмотреть.

     Откроется окно алерта, в верхней его части расположена панель инструментов.

   • В разделе Алерты веб-интерфейса KUMA установите флажок рядом с требуемым алертом. Можно выбрать более одного алерта.

     Алерты со статусом Закрыт не могут быть выбраны для обработки.

     В нижней части окна отобразится панель инструментов.

2. Измените уровень важности алерта с помощью раскрывающегося списка Уровень важности:
   • Низкий.
   • Средний.
   • Высокий.
   • Критический.

   Уровень важности алерта принимает выбранное значение.

3. Назначьте алерт пользователю с помощью раскрывающегося списка Назначить.

   Вы можете назначить алерт себе, выбрав Мне.

   Статус алерта изменится на Назначен, а в раскрывающемся списке Назначить отобразится имя выбранного пользователя.

4. В разделе Связанные пользователи выберите пользователя и настройте параметры реагирования через Active Directory.
   1. После выбора связанного пользователя в открывшемся окне Информация об учетной записи нажмите Реагирование через Active Directory.
   2. В раскрывающемся списке Команда Active Directory выберите одно из следующих значений:
      • Добавить учетную запись в группу

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Удалить учетную запись из группы

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Сбросить пароль учетной записи
      • Блокировать учетную запись
   3. Нажмите Применить.
5. При необходимости создайте на основе алерта инцидент:
   1. Нажмите Создать инцидент.

      Откроется окно создания инцидента. В качестве названия инцидента используется название алерта.

   2. Измените нужны параметры инцидента и нажмите Сохранить.

   Инцидент создан, статус алерта изменен на Эскалирован. Алерт можно отвязать от инцидента, выбрав его и нажав Отвязать.

6. Закройте алерт:
   1. Нажмите Закрыть алерт.

      Откроется окно подтверждения.

   2. Укажите причину закрытия алерта:
      • Отработан. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
      • Неверные данные. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности.
      • Неверное правило корреляции. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности. Возможно, требуется коррекция правила корреляции.
   3. Нажмите ОК.

   Статус алерта изменен на Закрыт. Алерты с таким статусом не обновляются новыми корреляционными событиями и отображаются в таблице алертов, только если в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого алерта или назначить его другому пользователю невозможно.

Расследование алерта

Расследование алерта используется, когда вам нужно получить дополнительную информацию об угрозе, из-за которой был создан алерт: реальна ли угроза, откуда она исходит, на какие элементы сетевой среды она влияет, как следует бороться с угрозой. Анализ событий, связанных с корреляционными событиями, которые в свою очередь породили алерт, может помочь вам определить курс действий.

Для обеспечения удобства расследования алертов убедитесь, что на всех устройствах, связанных с жизненным циклом обработки событий (источники событий, серверы KUMA, клиентские хосты) время синхронизируется при помощи серверов Network Time Protocol (NTP).

В KUMA режим расследования алерта включается, когда вы нажимаете ссылку Найти в событиях в окне алерта или в окне корреляционного события. В режиме расследования алерта отображается таблица событий с фильтрами, автоматически настроенными на поиск событий из алерта или корреляционного события. Фильтры также соответствуют времени продолжительности алерта или времени регистрации корреляционного события. Вы можете изменить эти фильтры, чтобы найти другие события и узнать больше о процессах, связанных с угрозой.

В режиме расследования алерта становится доступным дополнительный раскрывающийся список :

• Все события – просмотр всех событий.
• События алерта (выбрано по умолчанию) – просмотр только событий, связанных с алертом.

  При фильтрации событий, связанным с алертом, действуют ограничения на сложность поисковых SQL-запросов.

Вы можете вручную привязать к алертам событие любого типа, кроме корреляционного. К алерту можно привязать только не привязанные к нему события.

В режиме расследования алерта можно создавать и сохранять конфигурации фильтров событий. При использовании этого фильтра в обычном режиме просмотра событий будут отображены все события, соответствующие критериям фильтра, независимо от того, привязаны ли они к алерту, выбранному для расследования алерта.

Чтобы привязать событие к алерту:

1. В разделе Алерты веб-интерфейса KUMA нажмите алерт, к которому вы хотите привязать событие.

   Откроется окно алерта.

2. В разделе Связанные события нажмите на кнопку Найти в событиях.

   Откроется таблица событий с включенными фильтрами даты и времени, соответствующим дате и времени регистрации привязанных к алерту событий. В столбцах отображаются параметры, используемые правилом корреляции для создания алерта. В таблице событий также отображается столбец Привязка к алерту, в котором отмечаются события, привязанные к алерту.

3. В раскрывающемся списке выберите значение Все события.
4. При необходимости измените фильтры, чтобы найти событие, которое требуется привязать к алерту.
5. Выберите нужное событие и нажмите на кнопку Привязать к алерту в нижней части области деталей события.

Событие будет привязано к алерту. Вы можете отвязать это событие от алерта, нажав в области деталей Отвязать от алерта.

Когда событие привязывается или отвязывается от алерта, в окне алерта в разделе Журнал изменений добавляется запись об этом действии. По ссылке в этой записи вы можете открыть область деталей и отвязать или привязать событие к алерту, нажав на соответствующую кнопку.

Хранение алертов и инцидентов

Условия хранения алертов и инцидентов определяются следующими критериями:

• Сроком хранения. По умолчанию алерты и инциденты хранятся в KUMA в течение 365 дней, но этот срок можно изменить, изменив параметры запуска программы в файле /usr/lib/systemd/system/kuma-core.service на сервере Ядра KUMA. См. раздел Изменение срока хранения алертов и инцидентов ниже в этой статье.
• Условиями удаления. По истечении заданного срока хранения при соблюдении ряда условий алерты и инциденты могут продолжать храниться. См. раздел Условия удаления алертов и инцидентов ниже в этой статье.

Ограничения на размер хранимого алерта отсутствуют.

Изменение срока хранения алертов и инцидентов

Вы можете изменить срок хранения алертов и инцидентов одним из следующих способов:

• В веб-интерфейсе KUMA.
• В консоли командной строки.

Чтобы изменить срок хранения алертов и инцидентов в веб-интерфесе KUMA:

1. В веб-интерфейсе KUMA перейдите в раздел Параметры → Другое → Общие.
2. В открывшемся окне Общие в группе параметров Свойства Ядра задайте значение параметра Срок хранения алертов, дни.

Срок хранения алертов и инцидентов изменен.

Чтобы изменить срок хранения алертов и инцидентов в консоли командной строки:

1. Войдите в ОС сервера, на котором установлено Ядро KUMA.
2. В файле /usr/lib/systemd/system/kuma-core.service измените следующую строку, подставив нужное количество дней:

   ExecStart=/opt/kaspersky/kuma/kuma core --alerts.retention <количество дней, в течение которых требуется хранить алерты и инциденты> --external :7220 --internal :7210

3. Перезапустите KUMA, выполнив последовательно следующие команды:
   1. systemctl daemon-reload
   2. systemctl restart kuma-core

Срок хранения алертов и инцидентов изменен.

Условия удаления алертов и инцидентов

В KUMA приняты следующие условия удаления алертов и инцидентов:

• Если алерт старше срока хранения, вне зависимости от статуса алерта его события удаляются.
• Если алерт старше срока хранения, находится в статусе Закрыт и не привязан к инциденту, алерт удаляется.
• Если алерт старше срока хранения (вне зависимости от статуса алерта) и привязан к инциденту, срок хранения которого еще не истек, события алерта удаляются, сам алерт без событий доступен для отображения и остается привязанным к инциденту без событий.
• Если инцидент старше срока хранения, статус инцидента Закрыт и у него нет привязанных алертов, инцидент удаляется.
• Если инцидент старше срока хранения, статус инцидента Закрыт и к нему привязаны только алерты старше срока хранения (статус алертов, привязанных к закрытому инциденту всегда Closed, incident closed), инцидент вместе со всеми алертами и событиями удаляются.
• Если инцидент старше срока хранения (вне зависимости от статуса инцидента), и к нему привязаны алерты, срок хранения которых еще не истек, не удаляется ничего.
• Если инцидент старше срока хранения, в статусе отличном от Закрыт, и к нему привязаны алерты с истекшим сроком хранения, инцидент не удаляется, алерты не удаляются, события алертов удаляются.
• Пустые алерты (алерты без событий, срок хранения которых истек) должны быть удалены вместе с инцидентами, когда для инцидента наступят условия удаления по сроку хранения (инцидент в статусе Закрыт и его срок хранения истек).
• Если инцидент старше срока хранения, статус инцидента Закрыт, к нему привязаны алерты старше срока хранения и алерты, срок хранения которых еще не истек, инцидент не удаляется; алерты, срок хранения которых еще не истек, не удаляются; события алертов, срок хранения которых подошел к концу, удаляются, а сами алерты остаются пустыми и привязанными к инциденту.

Условия независимы, ни один пункт не исключает другой.

Уведомления об алертах

При создании и назначении алертов по электронной почте рассылаются стандартные уведомления KUMA. Вы можете настроить рассылку уведомлений о создании алерта на основе пользовательского шаблона электронной почты.

Создание правила уведомлений

Чтобы настроить рассылку уведомлений о создании алерта на основе пользовательского шаблона:

1. Откройте раздел Параметры → Алерты → Правила уведомлений веб-интерфейса KUMA.
2. Выберите тенант, для которого вы хотите создать правило уведомления:
   • Если у тенанта уже есть правила уведомлений, выберите его в таблице.
   • Если у тенанта нет правил уведомлений, нажмите Добавить тенант и в раскрывающемся списке Тенант выберите нужный тенант.
3. В блоке параметров Правила уведомлений нажмите Добавить и укажите параметры правила уведомлений:
   • Название (обязательно) – в этом поле укажите название правила уведомления.
   • Адреса получателей (обязательно) – в этом блоке параметров с помощью кнопки Адрес электронной почты можно добавить адреса электронной почты, на которые необходимо отправлять уведомления о создании алертов. Адреса добавляются по одному.

     Кириллические домены не поддерживаются. Например, уведомление по адресу login@домен.рф отправлено не будет.

   • Правила корреляции (обязательно) – в этом блоке параметров необходимо выбрать одно или несколько правил корреляции, при срабатывании которых будут отправляться уведомления.

     В окне в виде древовидной структуры отображаются правила корреляции из общего и выбранного пользователем тенанта. Для выбора правила необходимо установить флажок рядом с ним. Можно установить флажок рядом с папкой: в таком случае будут выбраны все правила корреляции в этой папке и ее подпапках.

   • Шаблон (обязательно) – в этом блоке параметров необходимо выбрать шаблон электронной почты, по которому будут создаваться рассылаемые уведомления. Для выбора шаблона нажмите на значок , в открывшемся окне выберите требуемый шаблон и нажмите Сохранить.

     Шаблон можно создать, нажав на значок плюса, или отредактировать выбранный шаблон, нажав на значок карандаша.

   • Выключено – установив этот флажок вы можете выключить правило уведомления.
4. Нажмите Сохранить.

Правило уведомления создано. Когда по выбранным правилам корреляции будет создаваться алерт, на указанные адреса электронной почты будут отправляться уведомления, созданные на основе пользовательских шаблонов электронной почты. Стандартные уведомления KUMA о том же событии на указанные адреса отправлены не будут.

Выключение правила уведомлений

Чтобы выключить правила уведомлений для тенанта:

1. Откройте раздел Параметры → Алерты → Правила уведомлений веб-интерфейса KUMA и выберите тенант, правила уведомлений которого вы хотите выключить.
2. Установите флажок Выключено.
3. Нажмите Сохранить.

Правила уведомлений выбранного тенанта выключены.

Для выключенных правил уведомлений не проверяется корректность указанных параметров, при этом включить уведомления для тенанта при наличии некорректных правил невозможно. Если вы при выключенных правилах уведомлений для тенанта создаете или редактируете отдельные правила уведомлений, перед включением правил уведомлений для тенанта рекомендуется: 1) выключить все отдельные правила уведомлений; 2) включить правила уведомлений для тенанта; 3) включить отдельные правила уведомлений по одному.

Работа с инцидентами

В разделе Инциденты веб-интерфейса KUMA можно создавать, просматривать и обрабатывать инциденты. При необходимости вы также можете фильтровать инциденты. При нажатии на название инцидента открывается окно со сведениями о нем.

Инциденты можно экспортировать в НКЦКИ.

Срок хранения инцидентов составляет один год, однако этот параметр можно изменить.

Формат даты инцидента зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

• Английская локализация: ГГГГ-ММ-ДД.
• Русская локализация: ДД.ММ.ГГГГ.

О таблице инцидентов

В основной части раздела Инциденты отображается таблица с информацией о зарегистрированных инцидентах. При необходимости вы можете изменить набор столбцов и порядок их отображения в таблице.

Как настроить таблицу инцидентов

Доступные столбцы таблицы инцидентов:

• Название – название инцидента. Инциденты, поступившие от НКЦКИ, содержат в названии префикс ALRT*.
• Длительность инцидента – время, на протяжении которого происходил инцидент (время между первым и последним событием, относящимся к инциденту).
• Назначен – имя сотрудника службы безопасности, которому инцидент передан для расследования или реагирования.
• Создан – дата и время создания инцидента. С помощью этого столбца инциденты можно фильтровать по времени их создания.
  • Доступны преднастроенные периоды: Сегодня, Вчера, На этой неделе, На прошлой неделе.
  • При необходимости можно задать произвольный период с помощью календаря, который открывается при выборе пунктов До даты, После даты, В течение периода.
• Тенант – название тенанта, которому принадлежит инцидент.
• Статус – текущее состояние инцидента:
  • Открыт – новый, еще не обработанный инцидент.
  • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
  • Закрыт – инцидент закрыт, угроза безопасности устранена.
• Количество алертов – количество алертов, входящих в инцидент. Учитываются только алерты тех тенантов, к которым у вас есть доступ.
• Уровень важности – степень значимости потенциальной угрозы безопасности: Критический , Высокий , Средний , Низкий .
• Категории затронутых активов – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
• Последнее обновление – дата и время последнего изменения, сделанного в инциденте.
• Первое событие и Последнее событие – дата и время первого и последнего события в инциденте.
• Категория инцидента и Тип инцидента – категория и тип угрозы, присвоенные инциденту.
• Экспорт в НКЦКИ – статус экспорта данных об инциденте в НКЦКИ:
  • Не экспортировался – данные не передавались в НКЦКИ.
  • Ошибка экспорта – попытка передать данные в НКЦКИ завершилась ошибкой, данные не переданы.
  • Экспортирован – данные об инциденте успешно переданы в НКЦКИ.
• Ветвь – данные о том, в каком узле был создан инцидент. По умолчанию отображаются инциденты вашего узла. Этот столбец отображается только при включенном режиме иерархии.
• КИИ – указание на то, относятся ли к инциденту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

В поле Поиск можно ввести регулярное выражение для поиска инцидентов по связанным с ними активами, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

• Активы: название, FQDN, IP-адрес.
• Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
• Корреляционные правила: название.
• Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
• Тенанты: название.

При фильтрации инцидентов по какому-либо параметру соответствующий столбец в таблице инцидентов подсвечивается желтым цветом.

Сохранение и выбор конфигураций фильтра инцидентов

В KUMA можно сохранять изменения параметров таблицы инцидентов в виде фильтров. Конфигурации фильтров сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA того тенанта, для которого они были созданы.

Чтобы сохранить текущие параметры конфигурации фильтра:

1. В разделе KUMA Инциденты откройте раскрывающийся список Выбрать фильтр.
2. Выберите Сохранить текущий фильтр.

   Откроется окно для ввода названия нового фильтра и выбора тенанта, которому он будет принадлежать.

3. Введите название конфигурации фильтра. Название должно быть уникальным для фильтров алертов, фильтров инцидентов и фильтров событий.
4. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать фильтр, и нажмите Сохранить.

Конфигурация фильтра сохранена.

Чтобы выбрать ранее сохраненную конфигурацию фильтра:

1. В разделе KUMA Инциденты откройте раскрывающийся список Выбрать фильтр.
2. Выберите нужную конфигурацию.

Конфигурация фильтра активна.

Вы можете выбрать фильтр, который будет использоваться по умолчанию, поставив в раскрывающемся списке Фильтры звездочку левее названия требуемой конфигурации фильтра.

Чтобы сбросить текущие настройки фильтра,

откройте раскрывающийся список Фильтры и выберите Очистить фильтр.

Удаление конфигураций фильтра инцидентов

Чтобы удалить ранее сохраненную конфигурацию фильтра:

1. В разделе KUMA Инциденты откройте раскрывающийся список Фильтры.
2. Нажмите значок рядом с фильтром, который требуется удалить.
3. Нажмите ОК.

Конфигурация фильтра удалена для всех пользователей KUMA.

Просмотр информации об инциденте

Чтобы просмотреть информацию об инциденте:

1. В окне веб-интерфейса программы выберите раздел Инциденты.
2. Выберите инцидент, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об инциденте.

Некоторые параметры инцидентов доступны для редактирования. Инциденты, автоматически созданные в KUMA по результатам уведомления от НКЦКИ, содержат префикс ALRT*.

В верхней части окна информации об инциденте расположена панель инструментов и указано имя пользователя, которому назначен инцидент, а также указаны разделы окна в виде закладок, при нажатии на которые можно перемещаться к нужному разделу. В этом окне вы можете обработать инцидент: назначить его пользователю, объединить его с другим инцидентом или закрыть.

Раздел Описание содержит следующие данные:

• Создан – дата и время создания инцидента.
• Название – название инцидента.

  Название инцидента можно изменить, введя в поле новое название и нажав Сохранить. Название должно содержать от 1 до 128 символов в кодировке Unicode.

• Тенант – название тенанта, которому принадлежит инцидент.

  Тенанта можно изменить, выбрав необходимый тенант в раскрывающемся списке и нажав Сохранить.

• Статус – текущее состояние инцидента:
  • Открыт – новый, еще не обработанный инцидент.
  • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
  • Закрыт – инцидент закрыт, угроза безопасности устранена.
• Уровень важности – значимость угрозы, которую представляет инцидент. Возможные значения:
  • Критический.
  • Высокий.
  • Средний.
  • Низкий.

  Уровень важности можно изменить, выбрав нужное значение в раскрывающемся списке и нажав Сохранить.

• Категории затронутых активов – категории, к которым принадлежат связанные с инцидентом активы.
• Появление первого события и Появление последнего события – дата и время первого и последнего события в инциденте.
• Тип инцидента и Категория инцидента – тип и категория угрозы, присвоенная инциденту. Значения можно изменить, выбрав в раскрывающемся списке нужное и нажав Сохранить.
• Экспорт в НКЦКИ – сведения о том, экспортировался ли этот инцидент в НКЦКИ.
• Описание – описание инцидента.

  Описание можно изменить, введя в поле новый текст и нажав Сохранить. Описание должно содержать не более 256 символов в кодировке Unicode.

• Связанные тенанты – тенанты, относящиеся к связанным с инцидентом алертам, активам и пользователям.
• Доступные тенанты – тенанты, алерты которых можно привязывать к инциденту автоматически.

  Список доступных тенантов можно изменить, установив в раскрывающемся списке флажки напротив нужных тенантов и нажав Сохранить.

Раздел Связанные алерты содержит таблицу алертов, относящихся к инциденту. При нажатии на название алерта открывается окно с подробными данными об этом алерте.

Разделы Связанные активы и Связанные пользователи содержат таблицы с данными об активах и пользователях, относящихся к инциденту. Эта информация поступает из алертов, связанных с инцидентом.

Таблицы в разделах Связанные алерты, Связанные активы и Связанные пользователи можно дополнить данными, нажав в нужном разделе на кнопку Привязать и выбрав в открывшемся окне объект, который следует привязать к инциденту. При необходимости вы можете отвязать объекты от инцидента. Для этого вам требуется выбрать необходимые объекты, нажать Отвязать в разделе, к которому они относятся, и сохранить изменения. Если объекты добавлены в инцидент автоматически, их нельзя отвязать, пока не отвязан алерт, в котором они упоминаются. Состав полей в таблицах этих разделов можно изменить, нажав в нужном разделе на кнопку шестеренки (). По данным в таблицах этих разделов можно вести поиск с помощью полей Поиск.

Раздел Журнал изменений содержит записи об изменениях, которые вы и пользователи вносили в инцидент. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии.

В разделе Интеграция с НКЦКИ можно отслеживать статус инцидента в НКЦКИ. Кроме того, в этом разделе можно экспортировать данные об инциденте в НКЦКИ, пересылать в НКЦКИ файлы, а также обмениваться со специалистами НКЦКИ сообщениями.

Если в параметры инцидента на стороне НКЦКИ были внесены изменения, в окне инцидента в KUMA будет отображаться соответствующее уведомление. При этом для параметров, по которым есть расхождения, в окне будут отображаться варианты значений и из KUMA, и из НКЦКИ.

Создание инцидента

Чтобы создать инцидент:

1. Откройте веб-интерфейс KUMA и выберите раздел Инциденты.
2. Нажмите Создать инцидент.

   Откроется окно создания инцидента.

3. Заполните обязательные параметры инцидента:
   • В поле Название введите название инцидента. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   • В раскрывающемся списке Тенант выберите тенант, которому принадлежит создаваемый инцидент.
4. При необходимости укажите другие параметры инцидента:
   • В раскрывающемся списке Уровень важности выберите степень угрозы, которую представляет инцидент. Доступные значения: Низкий, Средний, Высокий, Критический.
   • В полях Появление первого события и Появление последнего события укажите временной диапазон, в котором были получены события, относящиеся к инциденту.
   • В раскрывающихся списках Категория инцидента и Тип инцидента выберите категорию и тип инцидента. Доступные типы инцидента зависят от выбранной категории.
   • Добавьте Описание инцидента. Описание должно содержать не более 256 символов в кодировке Unicode.
   • В раскрывающемся списке Доступные тенанты выберите тенанты, алерты которых можно будет привязывать к инциденту автоматически.
   • В разделе Связанные алерты добавьте алерты, относящиеся к инциденту.

     Привязка алертов к инцидентам

     Чтобы привязать алерт к инциденту:

     1. В разделе Связанные алерты окна инцидента нажмите Привязать.

        Откроется окно со списком непривязанных к инцидентам обнаружений.

     2. Выберите требуемые алерты.

        Алерты можно искать по пользователям, активам, тенантам и корреляционным правилам с помощью регулярных выражений PCRE.

     3. Нажмите Привязать.

     Алерты связаны с инцидентом и отображаются в разделе Связанные алерты.

     Чтобы отвязать алерты от инцидента:

     1. Выберите нужные алерты в разделе Связанные алерты и нажмите на кнопку Отвязать.
     2. Нажмите Сохранить.

     Алерты отвязаны от инцидента. Также алерт можно отвязать от инцидента в окне алерта с помощью кнопки Отвязать.

   • В разделе Связанные активы добавьте активы, относящиеся к инциденту.

     Привязка активов к инцидентам

     Чтобы привязать актив к инциденту:

     1. В разделе Связанные активы окна инцидента нажмите Привязать.

        Откроется окно со списком активов.

     2. Выберите нужные активы.

        Активы можно искать с помощью поля Поиск.

     3. Нажмите Привязать.

     Активы связаны с инцидентом и отображаются в разделе Связанные активы.

     Чтобы отвязать активы от инцидента:

     1. Выберите нужные активы в разделе Связанные активы и нажмите на кнопку Отвязать.
     2. Нажмите Сохранить.

     Активы отвязаны от инцидента.

   • В разделе Связанные пользователи добавьте пользователей, относящихся к инциденту.

     Привязка пользователей к инцидентам

     Чтобы привязать пользователя к инциденту:

     1. В разделе Связанные пользователи окна инцидента нажмите Привязать.

        Откроется окно со списком пользователей.

     2. Выберите нужных пользователей.

        Пользователей можно искать с помощью поля Поиск.

     3. Нажмите Привязать.

     Пользователи связаны с инцидентом и отображаются в разделе Связанные пользователи.

     Чтобы отвязать пользователей от инцидента:

     1. Выберите нужных пользователей в разделе Связанные пользователи и нажмите на кнопку Отвязать.
     2. Нажмите Сохранить.

     Пользователи отвязаны от инцидента.

   • Добавьте Комментарий к инциденту.
5. Нажмите Сохранить.

Инцидент создан.

Обработка инцидентов

Для обеспечения удобства обработки инцидентов убедитесь, что на всех устройствах, связанных с жизненным циклом обработки событий (источники событий, серверы KUMA, клиентские хосты) время синхронизируется при помощи серверов Network Time Protocol (NTP).

Вы можете назначить инцидент пользователю, объединить инциденты или закрыть инцидент.

Чтобы обработать инцидент:

1. Выберите необходимые инциденты одним из следующих способов:
   • В разделе Инциденты веб-интерфейса KUMA нажмите на инцидент, который нужно обработать.

     Откроется окно инцидента, в его верхней части расположена панель инструментов.

   • В разделе Инциденты веб-интерфейса KUMA установите флажок рядом с требуемыми инцидентами.

     В нижней части окна отобразится панель инструментов.

2. В раскрывающемся списке Назначить выберите пользователя, которому вы хотите назначить инцидент.

   Вы можете назначить инцидент себе, выбрав Мне.

   Инциденту будет присвоен статус Назначен, а в раскрывающемся списке Назначить отобразится имя выбранного пользователя.

3. В разделе Связанные пользователи выберите пользователя и настройте параметры реагирования через Active Directory.
   1. После выбора связанного пользователя в открывшемся окне Информация об учетной записи нажмите Реагирование через Active Directory.
   2. В раскрывающемся списке Команда Active Directory выберите одно из следующих значений:
      • Добавить учетную запись в группу

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Удалить учетную запись из группы

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Сбросить пароль учетной записи
      • Блокировать учетную запись
   3. Нажмите Применить.
4. При необходимости измените параметры инцидента.
5. После расследования закройте инцидент:
   1. Нажмите Закрыть.

      Откроется окно подтверждения.

   2. Укажите причину закрытия инцидента:
      • подтвержден. Это означает, что инцидент был действительным и были приняты необходимые меры по устранению угрозы безопасности.
      • не подтвержден. Это означает, что инцидент был ложным, а полученные события не указывают на угрозу безопасности.
   3. Нажмите Закрыть.

   Инциденту будет присвоен статус Закрыт. Инциденты с таким статусом невозможно редактировать, и они отображаются в таблице инцидентов, только если при фильтрации таблицы в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого инцидента или назначить его другому пользователю невозможно, однако его можно объединить с другим инцидентом.

6. При необходимости объедините выбранные инциденты с другим инцидентом:
   1. Нажмите Объединить и в открывшемся окне выберите инцидент, в который следует поместить все данные из выбранных инцидентов.
   2. Подтвердите выбор, нажав Объединить.

   Инциденты будут объединены.

Инцидент обработан.

Изменение инцидентов

Чтобы изменить параметры инцидента:

1. В разделе Инциденты веб-интерфейса KUMA нажмите на инцидент, параметры которого нужно изменить.

   Откроется окно инцидента.

2. Измените нужные параметры. Для редактирования доступны все параметры инцидента, которые можно задать при его создании.
3. Нажмите Сохранить.

Инцидент будет изменен.

Автоматическая привязка алертов к инцидентам

В KUMA можно настроить автоматическую привязку создаваемых алертов к уже существующим инцидентам, если у алертов и инцидентов есть пересечения по относящимся к ним активам или пользователям. Если настройка включена, то при создании алерта программа выполняет поиск инцидентов за указанный период, к которым относятся активы или пользователи из алерта. Кроме того, программа проверяет, чтобы созданный алерт относился к тенантам, указанным в инцидентах в качестве параметра Доступные тенанты. Если удовлетворяющий условиям инцидент найден, программа связывает созданный алерт и найденный инцидент.

Чтобы настроить автоматическую привязку алертов к инцидентам:

1. Откройте раздел веб-интерфейса KUMA Параметры → Инциденты → Автоматическая привязка алертов к инцидентам.
2. Установите флажок Включить в блоках параметров Привязка при пересечении по активам и/или Привязка при пересечении по пользователям, в зависимости от того, какие связи необходимо искать между инцидентами и алертами.
3. Задайте Срок давности создания инцидента для параметров, по которым необходимо искать связи. Создаваемые алерты будут сравниваться с инцидентами не старше указанного срока.

Автоматическая привязка алертов к инцидентам настроена.

Чтобы выключить автоматическую привязку алертов к инцидентам,

в разделе веб-интерфейса KUMA Параметры → Инциденты → Автоматическая привязка алертов к инцидентам установите флажок Выключено.

Категории и типы инцидентов

Для удобства работы вы можете присваивать категории и типы. Если инциденту присвоена категория НКЦКИ, его можно экспортировать в НКЦКИ.

Категории и типы инцидентов, которые можно экспортировать в НКЦКИ

Категории инцидентов можно просмотреть или изменить в разделе Параметры → Инциденты → Типы инцидентов, где они отображаются в виде таблицы. При нажатии на заголовки столбцов можно менять параметры сортировки таблицы. Таблица содержит следующие столбцы:

• Категория инцидента – общий признак инцидента или компьютерной атаки. Таблицу можно фильтровать по значениям этого столбца.
• Тип инцидента – класс инцидента или компьютерной атаки.
• Категория для НКЦКИ – соответствие типа инцидента номенклатуре НКЦКИ. Невозможно экспортировать в НКЦКИ инциденты, которым присвоены пользовательские типы и категории. Таблицу можно фильтровать по значениям этого столбца.
• Уязвимость – указывает ли тип инцидента на уязвимость.
• Создан – дата создания типа инцидента.
• Изменен – дата изменения типа инцидента.

Чтобы добавить тип инцидента:

1. В разделе веб-интерфейса KUMA Параметры → Инциденты → Типы инцидентов нажмите Добавить.

   Откроется окно создания типа инцидента.

2. Заполните поля Тип и Категория.
3. Если создаваемый тип инцидента соответствует номенклатуре НКЦКИ, установите флажок Категория для НКЦКИ.
4. Если тип инцидента указывает на уязвимость, установите флажок Уязвимость.
5. Нажмите Сохранить.

Тип инцидента создан.

Взаимодействие с НКЦКИ

В KUMA в рамках взаимодействия с Национальным координационным центром по компьютерным инцидентам (далее "НКЦКИ") можно выполнять следующие действия:

• экспортировать в НКЦКИ инциденты;
• при запросе НКЦКИ дополнять экспортированный инцидент данными;
• отправлять в НКЦКИ файлы;
• обмениваться сообщениями со специалистами НКЦКИ;
• просматривать изменения в параметрах экспортированных инцидентов, сделанных в НКЦКИ;
• обрабатывать инциденты, автоматически созданные KUMA по результатам уведомления от НКЦКИ, с префиксом ALRT* .

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Условия взаимодействия с НКЦКИ