Правила агрегации

Правила агрегации позволяют объединить однотипные повторяющиеся события и заменить их одним общим событием. В правилах агрегации поддерживается работа с полями стандартной схемы событий KUMA и с полями расширенной схемы событий. Таким образом вы можете уменьшить количество схожих событий, передаваемых в хранилище и/или коррелятор, снизить нагрузку на сервисы, сэкономить место для хранения данных и сэкономить лицензионную квоту (EPS). Агрегационное событие создается по достижении порога по времени или порога по числу событий, смотря что произойдет раньше.

Для правил агрегации можно настроить фильтр и применять его только к событиям, которые соответствуют заданным условиям.

Вы можете настроить правила агрегации в разделе Ресурсы → Правила агрегации, а затем выбрать созданное правило агрегации в раскрывающемся списке в параметрах коллектора. Правила агрегации также можно настроить напрямую в параметрах коллектора. Доступные параметры правила агрегации описаны в таблице ниже.

Доступные параметры правила агрегации

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени: до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Предел событий

Ограничение по количеству событий. После накопления заданного количества событий с идентичными полями коллектор создает агрегационное событие и начинает накопление событий для следующего агрегированного события. Значение по умолчанию: 100.

Время ожидания событий

Ограничение по времени в секундах. По истечении указанного срока накопление базовых событий прекращается, коллектор создает агрегированное событие и начинает сбор событий для следующего агрегированного события. Значение по умолчанию: 60.

Обязательный параметр.

Описание

Описание ресурса. Максимальная длина описания: 4000 символов в кодировке Unicode.

Группирующие поля

Поля нормализованных событий, значения которых должны совпадать. Например, для сетевых событий могут использоваться поля нормализованных событий SourceAddress, DestinationAddress и DestinationPort. В итоговом агрегационном событии поля нормализованных событий будут заполнены значениями базовых событий.

Обязательный параметр.

Уникальные поля

Поля, диапазон значений которых требуется сохранить в агрегированном событии. Например, если поле DestinationPort указать не в Группирующие поля, а в Уникальные поля, агрегированное событие объединит базовые события подключения к разным портам, а поле DestinationPort агрегированного события будет содержать список всех портов, к которым выполнялись подключения.

Поля суммы

Поля, значения которых при агрегации будут просуммированы и записаны в одноименные поля агрегированного события. Существуют следующие особенности поведения полей:

  • значения полей с типами «Число» и «Число с плавающей точкой» суммируются;
  • значения полей с типом «Строка» конкатенируются через запятую;
  • значения полей с типами «Массив строк», «Массив чисел» и «Массив чисел с плавающей точкой» добавляются в конец массива.

Фильтр

Условия определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать в раскрывающемся списке существующий фильтр или Создать, чтобы создать новый фильтр.

Не используйте в правилах агрегации фильтры с операндом TI или операторами TIDetect, inActiveDirectoryGroup и hasVulnerability. Поля Active Directory, для которых используется оператор inActiveDirectoryGroup, появляются на этапе обогащения, то есть после выполнения правил агрегации.

Создание фильтра в ресурсах

В поставку KUMA включены перечисленные в таблице ниже правила агрегации.

Предустановленные правила агрегации

Название правила агрегации

Описание

[OOTB] Netflow 9

Правило сработает при достижении 100 событий или по истечении 10 секунд.

Агрегация событий выполняется по следующим полям:

  • DestinationAddress
  • DestinationPort
  • SourceAddress
  • TransportProtocol
  • DeviceVendor
  • DeviceProduct

Поля DeviceCustomString1 и BytesIn суммируются.

В начало