Kaspersky Unified Monitoring and Analysis Platform
- Справка Kaspersky Unified Monitoring and Analysis Platform
- О программе Kaspersky Unified Monitoring and Analysis Platform
- Архитектура программы
- Лицензирование программы
- Руководство администратора
- Установка и удаление KUMA
- Требования к установке программы
- Порты, используемые KUMA при установке
- Синхронизация времени на серверах
- О файле инвентаря
- Установка на одном сервере
- Распределенная установка
- Распределенная установка в отказоустойчивой конфигурации
- Резервное копирование KUMA
- Изменение конфигурации KUMA
- Обновление предыдущих версий KUMA
- Устранение ошибок при обновлении
- Удаление KUMA
- Работа с тенантами
- Управление пользователями
- Сервисы KUMA
- Инструменты сервисов
- Наборы ресурсов для сервисов
- Создание хранилища
- Создание коррелятора
- Создание коллектора
- Предустановленные коллекторы
- Создание агента
- Настройка источников событий
- Настройка получения событий Auditd
- Настройка получения событий KATA/EDR
- Настройка получения событий Kaspersky Security Center в формате CEF
- Настройка получения событий Kaspersky Security Center из MS SQL
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка аудита событий с устройств Windows
- Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector
- Предоставление прав для просмотра событий Windows
- Предоставление прав входа в качестве службы
- Настройка коллектора KUMA для получения событий с устройств Windows
- Установка коллектора KUMA для получения событий с устройств Windows
- Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)
- Настройка получения событий PostgreSQL
- Настройка получения событий ИВК Кольчуга-К
- Настройка получения событий КриптоПро NGate
- Настройка получения событий Ideco UTM
- Настройка получения событий KWTS
- Настройка получения событий KLMS
- Настройка получения событий KSMG
- Настройка получения событий PT NAD
- Настройка получения событий c помощью плагина MariaDB Audit Plugin
- Настройка получения событий СУБД Apache Cassandra
- Настройка получения событий FreeIPA
- Настройка получения событий VipNet TIAS
- Настройка получения событий Sendmail
- Настройка получения событий Nextcloud
- Настройка получения событий Snort
- Настройка получения событий Suricata
- Настройка получения событий FreeRADIUS
- Настройка получения событий zVirt
- Настройка получения событий Zeek IDS
- Мониторинг источников событий
- Управление активами
- Добавление категории активов
- Настройка таблицы активов
- Поиск активов
- Экспорт данных об активах
- Просмотр информации об активе
- Добавление активов
- Назначение активу категории
- Изменение параметров активов
- Удаление активов
- Обновление программ сторонних производителей и закрытие уязвимостей на активах Kaspersky Security Center
- Перемещение активов в выбранную группу администрирования
- Аудит активов
- Настраиваемые поля активов
- Активы критической информационной инфраструктуры
- Интеграция с другими решениями
- Интеграция с Kaspersky Security Center
- Настройка параметров интеграции с Kaspersky Security Center
- Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center
- Создание подключения к Kaspersky Security Center
- Изменение подключения к Kaspersky Security Center
- Удаление подключения к Kaspersky Security Center
- Импорт событий из базы Kaspersky Security Center
- Интеграция с Kaspersky Endpoint Detection and Response
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Threat Intelligence Portal
- Интеграция с R-Vision Security Orchestration, Automation and Response
- Интеграция с Active Directory, Active Directory Federation Services и FreeIPA
- Подключение по протоколу LDAP
- Включение и выключение LDAP-интеграции
- Добавление тенанта в список тенантов для интеграции с LDAP-сервером
- Создание подключения к LDAP-серверу
- Создание копии подключения к LDAP-серверу
- Изменение подключения к LDAP-серверу
- Изменение частоты обновления данных
- Изменение срока хранения данных
- Запуск задач на обновление данных об учетных записях
- Удаление подключения к LDAP-серверу
- Аутентификация с помощью доменных учетных записей
- Подключение по протоколу LDAP
- Интеграция с НКЦКИ
- Интеграция с Security Vision Incident Response Platform
- Интеграция с Kaspersky Industrial CyberSecurity for Networks
- Интеграция с Kaspersky Automated Security Awareness Platform
- Отправка уведомлений в Telegram
- Интеграция с UserGate
- Интеграция с Kaspersky Web Traffic Security
- Интеграция с Kaspersky Secure Mail Gateway
- Импорт информации об активах из RedCheck
- Интеграция с Kaspersky Security Center
- Управление KUMA
- Работа в режиме иерархии
- Работа с геоданными
- Установка и удаление KUMA
- Руководство пользователя
- Ресурсы KUMA
- Операции с ресурсами
- Точки назначения
- Работа с событиями
- Фильтрация и поиск событий
- Выбор хранилища
- Формирование SQL-запроса с помощью конструктора
- Создание SQL-запроса вручную
- Фильтрация событий по периоду
- Отображение названий вместо идентификаторов
- Пресеты
- Ограничение сложности запросов в режиме расследования алерта
- Сохранение и выбор конфигураций фильтра событий
- Удаление конфигураций фильтра событий
- Поддерживаемые функции ClickHouse
- Просмотр информации о событии
- Экспорт событий
- Настройка таблицы событий
- Обновление таблицы событий
- Получение статистики по событиям в таблице
- Просмотр информации о корреляционном событии
- Фильтрация и поиск событий
- Нормализаторы
- Правила агрегации
- Правила обогащения
- Правила корреляции
- Фильтры
- Активные листы
- Просмотр таблицы активных листов
- Добавление активного листа
- Просмотр параметров активного листа
- Изменение параметров активного листа
- Дублирование параметров активного листа
- Удаление активного листа
- Просмотр записей в активном листе
- Поиск записей в активном листе
- Добавление записи в активный лист
- Дублирование записей в активном листе
- Изменение записи в активном листе
- Удаление записей в активном листе
- Импорт данных в активный лист
- Экспорт данных из активного листа
- Предустановленные активные листы
- Словари
- Правила реагирования
- Шаблоны уведомлений
- Коннекторы
- Секреты
- Правила сегментации
- Пример расследования инцидента с помощью KUMA
- Условия возникновения инцидента
- Шаг 1. Предварительная подготовка
- Шаг 2. Назначение алерта пользователю
- Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
- Шаг 4. Анализ информации об алерте
- Шаг 5. Проверка на ложное срабатывание
- Шаг 6. Определение критичности алерта
- Шаг 7. Создание инцидента
- Шаг 8. Расследование
- Шаг 9. Поиск связанных активов
- Шаг 10. Поиск связанных событий
- Шаг 11. Запись причин инцидента
- Шаг 12. Реагирование на инцидент
- Шаг 13. Восстановление работоспособности активов
- Шаг 14. Закрытие инцидента
- Аналитика
- Панель мониторинга
- Отчеты
- Виджеты
- Работа с алертами
- Работа с инцидентами
- О таблице инцидентов
- Сохранение и выбор конфигураций фильтра инцидентов
- Удаление конфигураций фильтра инцидентов
- Просмотр информации об инциденте
- Создание инцидента
- Обработка инцидентов
- Изменение инцидентов
- Автоматическая привязка алертов к инцидентам
- Категории и типы инцидентов
- Взаимодействие с НКЦКИ
- Особенности экспорта в НКЦКИ из иерархической структуры KUMA
- Экспорт данных в НКЦКИ
- Дополнение данных об инциденте по запросу
- Отправка файлов в НКЦКИ
- Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных
- Обмен сообщениями с сотрудниками НКЦКИ
- Допустимые категории и типы инцидентов НКЦКИ
- Уведомления об изменении статуса инцидента в НКЦКИ
- Ретроспективная проверка
- Ресурсы KUMA
- Обращение в службу технической поддержки
- REST API
- Создание токена
- Настройка прав доступа к API
- Авторизация API-запросов
- Стандартная ошибка
- Операции
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск алертов
- Закрытие алертов
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск сервисов
- Поиск тенантов
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Просмотр пользовательских полей активов
- Создание резервной копии Ядра KUMA
- Восстановление Ядра KUMA из резервной копии
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Модель данных алерта
- Модель данных актива
- Модель данных учетной записи
- События аудита KUMA
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Логин пользователя успешно изменен
- Роль пользователя успешно изменена
- Другие данные пользователя успешно изменены
- Пользователь успешно вышел из системы
- Пароль пользователя успешно изменен
- Пользователь успешно создан
- Пользователю успешно назначена роль
- Роль пользователя успешно отозвана
- Токен доступа пользователя успешно изменен
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Сервис успешно запущен
- Сервис успешно сопряжен
- Статус сервиса изменен
- Раздел хранилища удален пользователем
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно изменен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен
- Ресурс успешно удален
- Ресурс успешно обновлен
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
- Тенант успешно создан
- Тенант успешно включен
- Тенант успешно выключен
- Другие данные тенанта успешно изменены
- Изменена политика хранения данных после изменения дисков
- Словарь успешно обновлен на сервисе или операция завершилась ошибкой
- Ответ в Active Directory
- Реагирование через KICS for Networks
- Реагирование через Kaspersky Automated Security Awareness Platform
- Реагирование через KEDR
- Правила корреляции
- Отправка тестовых событий в KUMA
- Информация о стороннем коде
- Уведомления о товарных знаках
- Глоссарий
Правила корреляции типа operational
Правила корреляции типа operational используются для работы с активными листами.
Окно правила корреляции содержит следующие закладки:
- Общие – используется для указания основных параметров правила корреляции. На этой закладке можно выбрать тип правила корреляции.
- Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правил.
- Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.
Закладка Общие
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
- Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите operational, если хотите создать правило корреляции типа operational.
- Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.
Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до
1000000
. - Описание – описание ресурса. До 4000 символов в кодировке Unicode.
Закладка Селекторы
В правиле типа operational может быть только один селектор, для которого доступны закладки Параметры и Локальные переменные.
Закладка Параметры содержит параметры с блоком параметров Фильтр:
- Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.
В этом случае вы сможете использовать созданный фильтр в разных сервисах.
По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
- В блоке параметров Условия задайте условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.
В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите нужный вам оператор.
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.
Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.
По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
- Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.
Параметры вложенного фильтра можно просмотреть, нажав на кнопку
.
Фильтрация по данным из поля события Extra
Условия для фильтров по данным из поля события Extra:
- Условие – Если.
- Левый операнд – поле события.
- В поле события вы можете указать одно из следующих значений:
- Поле Extra.
- Значение из поля Extra в следующем формате:
Extra.<название поля>
Например,
Extra.app
.Значение этого типа указывается вручную.
- Значение из массива, записанного в поле Extra, в следующем формате:
Extra.<название поля>.<элемент массива>
Например,
Extra.array.0
.Нумерация значений в массиве начинается с 0.
Значение этого типа указывается вручную.
Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.
- Оператор – =.
- Правый операнд – константа.
- Значение – значение, по которому требуется фильтровать события.
На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.
Закладка Действия
В правиле типа operational может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.
Доступные параметры триггера:
- Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.
Доступные параметры:
- Название (обязательно) – этот раскрывающийся список используется для выбора активного листа.
- Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
- Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
- Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
- Удалить – удалить запись из активного листа.
- Ключевые поля (обязательно) – это список полей события, используемые для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.
Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.
- Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
- Левое поле используется для указания поля активного листа.
Поле не должно содержать специальные символы или только цифры.
- Средний раскрывающийся список используется для выбора полей событий.
- Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
- Левое поле используется для указания поля активного листа.