Ресурсы KUMA

Ресурсы – это компоненты KUMA, которые содержат параметры для реализации различных функций: например, установления связи с заданным веб-адресом или преобразования данных по определенным правилам. Из этих компонентов, как из частей конструктора, собираются наборы ресурсов для сервисов, на основе которых в свою очередь создаются сервисы KUMA.

Ресурсы содержатся в разделе веб-интерфейса KUMA Ресурсы в блоке Ресурсы. Доступные типы ресурсов:

• Правила корреляции – в ресурсах этого типа содержатся правила определения в событиях закономерностей, указывающих на угрозы. Если условия, заданные в этих ресурсах, выполняются, создается корреляционное событие.
• Нормализаторы – в ресурсах этого типа содержатся правила для приведения поступающих событий к формату, принятому в KUMA. После обработки в нормализаторе сырое событие становится нормализованным и может обрабатываться другими ресурсами и сервисами KUMA.
• Коннекторы – в ресурсах этого типа содержатся параметры для установления сетевых подключений.
• Правила агрегации – в ресурсах этого типа содержатся правила для объединения нескольких однотипных базовых событий в одно агрегационное событие.
• Правила обогащения – в ресурсах этого типа содержатся правила для дополнения событий информацией из сторонних источников.
• Точки назначения – в ресурсах этого типа содержатся параметры для пересылки событий в пункт дальнейшей обработки или хранения.
• Фильтры – в ресурсах этого типа содержатся условия для отбора отдельных событий из потока событий для дальнейшей их передачи в обработку.
• Правила реагирования – ресурсы этого типа используются в корреляторах для запуска, например, скриптов или задач Kaspersky Security Center при выполнении определенных условий.
• Правила сбора и анализа данных – в ресурсах этого типа содержатся правила, которые позволяют планировать выполнение SQL-запросов с агрегационными функциям в хранилище по заданному расписанию. Далее по данным, полученным от SQL-запросов, осуществлется корреляция.
• Шаблоны уведомлений – ресурсы этого типа используются при рассылке уведомлений о новых алертах.
• Активные листы – ресурсы этого типа используются корреляторами для динамической работы с данными при анализе событий по правилам корреляции.
• Словари – ресурсы этого типа используются для хранения ключей и их значений, которые могут потребоваться другим ресурсам и сервисам KUMA.
• Прокси-серверы – в ресурсах этого типа содержатся параметры использования прокси-серверов.
• Секреты – ресурсы этого типа используются для безопасного хранения конфиденциальной информации (например, учетных данных), которые должны использоваться KUMA для взаимодействия с внешними службами.

При нажатии на тип ресурса открывается окно, в котором отображается таблица с имеющимися ресурсами этого типа. Таблица содержит следующие столбцы:

• Название – название ресурса. Может использоваться для поиска и сортировки ресурсов.
• Последнее обновление – дата и время последнего обновления ресурса. Может использоваться для сортировки ресурсов.
• Создал – имя пользователя, создавшего ресурс.
• Описание – описание ресурса.
• Тип – тип ресурса. Отображается для всех типов ресурсов, кроме типов Правила агрегации, Правила обогащения, Правила сбора и анализа данных, Фильры, Активные листы, Прокси-серверы.
• Путь до ресурса – адрес в дереве ресурсов. Отображается в дереве папок, начиная от тенанта, в котором создан ресурс.
• Теги – теги, которыми отмечен ресурс. Ресурс может иметь больше одного тега.

  Теги являются частью ресурса и импортируются в случае импорта ресурса.

• Название пакета – имя пакета, из которого ресурс был импортирован из репозитория.
• Коррелятор – список корреляторов, к которым привязано корреляционное правило. Отображается только для ресурсов типа Правила корреляции.

  Если правило не привязано ни к одному коррелятору, в столбце отображается пустое значение. Если в списке есть несколько значений, то эти значения отсортированы в алфавитном порядке. Вы можете фильтровать значения в столбце Коррелятор, нажав на заголовок столбца и выбрав, какие правила корреляции вы хотите отображать в таблице: Без коррелятора или С коррелятором.

  Для правил тенанта Shared отображаются корреляторы тенантов, к которым у вас есть доступ и которые вы выбирали в списке тенантов.

  Значения в столбце Коррелятор доступны только для просмотра. Если вы хотите выполнить действия над корреляторами, вам нужно нажать на правило в таблице и в открывшихся свойствах этого правила перейти на вкладаку Корреляторы.

• Техники MITRE – техники матрицы MITRE, которые покрывает это правило корреляции. Отображается только для ресурсов типа Правила корреляции. При наведении курсора мыши на значение отображается название правила.

Максимальный размер таблицы не ограничен. Если вы хотите выбрать все ресурсы, прокрутите таблицу до конца и установите флажок Выбрать все, таким образом все доступные в таблице ресурсы будут выбраны.

В таблице ресурсов в нижней части отображается количество ресурсов из доступных вам тенантов в таблице:

• Всего – общее количество или с учетом примененного фильтра или поиска.
• Выбрано – количество выбранных ресурсов.

При применении фильтров выбранные ресурсы и значение Выбрано сбрасываются. Если количество ресурсов изменится из-за действий другого пользователя (например, удаление), отображаемое количество ресурсов изменится после того, как вы обновите страницу, выполните действие с ресурсом или примените фильтр.

Ресурсы можно расположить по папкам. В левой части окна отображается структура папок: корневые папки соответствуют тенантам и содержат перечень всех ресурсов тенанта. Во всех остальных папках, вложенных в корневую, отображаются ресурсы отдельной папки. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.

Ресурсы можно создавать, редактировать, копировать, перемещать между папками и удалять. Ресурсы можно также экспортировать и импортировать.

KUMA поставляется с набором предустановленных ресурсов, их можно узнать по названию [OOTB]<название_ресурса>. OOTB-ресурсы защищены от внесения изменений.

Если вы хотите адаптировать предустановленный OOTB-ресурс к инфраструктуре своей организации:

1. В разделе Ресурсы-<тип ресурсов> и выберите OOTB-ресурс, который вы хотите изменить.
2. В верхней части веб-интерфейса KUMA нажмите Дублировать, а затем нажмите Сохранить.
3. В веб-интерфейсе появится новый ресурс с названием [OOTB]<название_ресурса> - копия.
4. Внесите необходимые изменения в созданную копию предустановленного ресурса и сохраните изменения.

Адаптированный ресурс доступен для использования.

В этом разделе справки Операции с ресурсами Точки назначения Работа с событиями Нормализаторы Правила агрегации Правила обогащения Правила корреляции Фильтры Активные листы Словари Правила реагирования Шаблоны уведомлений Коннекторы Секреты Правила сегментации Контекстные таблицы

В начало