Активный лист – это контейнер для данных, которые используются корреляторами KUMA при анализе событий по правилам корреляции.
Например, если у вас есть список IP-адресов с плохой репутацией, вы можете:
В этом случае KUMA выберет все события, которые содержат IP-адреса, внесенные в активный лист, и создаст корреляционное событие.
Вы можете наполнять активные листы автоматически с помощью корреляционных правил типа simple или импортировать файл с данными для активного листа.
Вы можете добавлять, копировать и удалять активные листы.
Активные листы можно использовать в следующих сервисах и функциях KUMA:
Один и тот же активный лист может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность активного листа. Таким образом, содержимое активных листов, используемых разными корреляторами, различается, даже если идентификатор и название активных листов одинаковые.
В активный лист добавляются данные только по правилам корреляции, добавленным в коррелятор.
Вы можете добавлять, изменять, дублировать, удалять и экспортировать записи в активном листе коррелятора.
В процессе корреляции при удалении записей из активных листов по истечении срока жизни записи в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Правила корреляции можно настроить на отслеживание этих событий, чтобы обрабатывать эти события и с их помощью распознавать угрозы. Поля служебных событий удаления записи из активного листа описаны ниже.
Поле события |
Значение или комментарий |
|
Идентификатор события |
|
Время удаления записи, срок жизни которой истек |
|
|
|
|
|
|
|
Идентификатор коррелятора |
|
Название коррелятора |
|
Идентификатор активного листа |
|
Ключ записи, чей срок жизни истек. |
|
Увеличенное на единицу количество обновлений удаленной записи |
S.<поле активного листа> |
Выпавшая запись активного листа в формате: S.<поле активного листа> = <значение активного листа> |