Параметр
|
Описание
|
Название
|
Обязательный параметр.
Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
|
Тенант
|
Обязательный параметр.
Название тенанта, которому принадлежит ресурс.
|
Переключатель Состояние
|
Используется, если события нужно отправлять в точку назначения.
По умолчанию отправка событий включена.
|
Тип
|
Обязательный параметр.
Тип точки назначения, tcp.
|
URL
|
Обязательный параметр.
URL, с которым необходимо установить связь. Доступные форматы: хост:порт , IPv4:порт , :порт .
Также поддерживаются адреса IPv6. При их использовании необходимо также указывать интерфейс в формате [адрес%интерфейс]:порт .
Например: [fe80::5054:ff:fe4d:ba0c%eth0]:4222 ).
|
Описание
|
Описание ресурса: до 4000 символов в кодировке Unicode.
|
Параметр
|
Описание
|
Сжатие
|
Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
|
Размер буфера
|
Используется для установки размера буфера.
Значение по умолчанию: 1 КБ; максимальное: 64 МБ.
|
Время ожидания
|
Время ожидания ответа (в секундах) другого сервиса или компонента.
Значение по умолчанию: 30 .
|
Размер дискового буфера
|
Размер дискового буфера в байтах.
Значение по умолчанию: 10 ГБ.
|
Выходной формат
|
Формат отправки событий во внешний источник. Доступные значения:
|
Режим TLS
|
Использование шифрования TLS с использованием сертификатов в формате pem x509. Доступные значения:
- Выключено: не использовать шифрование TLS. Значение по умолчанию.
- Включено: использовать шифрование, но без верификации сертификатов.
- С верификацией: использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
При использовании TLS невозможно указать IP-адрес в качестве URL.
|
Разделитель
|
В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n .
|
Интервал очистки буфера
|
Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с .
|
Количество обработчиков
|
Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
|
Отладка
|
Переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.
|
Дисковый буфер
|
Раскрывающийся список, в котором можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.
Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.
Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.
|
Фильтр
|
В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.
Создание фильтра в ресурсах
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.
В этом случае вы сможете использовать созданный фильтр в разных сервисах.
По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
- В блоке параметров Условия задайте условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.
В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите нужный вам оператор.
Операторы фильтров
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.
Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.
По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
- Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.
Параметры вложенного фильтра можно просмотреть, нажав на кнопку .
|