Правила агрегации позволяют объединить однотипные повторяющиеся события и заменить их одним общим событием. В правилах агрегации поддерживается работа с полями стандартной схемы событий KUMA и с полями расширенной схемы событий. Таким образом вы можете уменьшить количество схожих событий, передаваемых в хранилище и/или коррелятор, снизить нагрузку на сервисы, сэкономить место для хранения данных и сэкономить лицензионную квоту (EPS). Агрегационное событие создается по достижении порога по времени или порога по числу событий, смотря что произойдет раньше.
Для правил агрегации можно настроить фильтр и применять его только к событиям, которые соответствуют заданным условиям.
Вы можете настроить правила агрегации в разделе Ресурсы → Правила агрегации, а затем выбрать созданное правило агрегации в раскрывающемся списке в параметрах коллектора. Правила агрегации также можно настроить напрямую в параметрах коллектора. Доступные параметры правила агрегации описаны в таблице ниже.
Доступные параметры правила агрегации
Параметр |
Описание |
||
---|---|---|---|
Название |
Уникальное имя ресурса. Максимальная длина имени: до 128 символов в кодировке Unicode. Обязательный параметр. |
||
Тенант |
Название тенанта, которому принадлежит ресурс. Обязательный параметр. |
||
Предел событий |
Ограничение по количеству событий. После накопления заданного количества событий с идентичными полями коллектор создает агрегационное событие и начинает накопление событий для следующего агрегированного события. Значение по умолчанию: |
||
Время ожидания событий |
Ограничение по времени в секундах. По истечении указанного срока накопление базовых событий прекращается, коллектор создает агрегированное событие и начинает сбор событий для следующего агрегированного события. Значение по умолчанию: Обязательный параметр. |
||
Описание |
Описание ресурса. Максимальная длина описания: 4000 символов в кодировке Unicode. |
||
Группирующие поля |
Поля нормализованных событий, значения которых должны совпадать. Например, для сетевых событий могут использоваться поля нормализованных событий Обязательный параметр. |
||
Уникальные поля |
Поля, диапазон значений которых требуется сохранить в агрегированном событии. Например, если поле |
||
Поля суммы |
Поля, значения которых при агрегации будут просуммированы и записаны в одноименные поля агрегированного события. Существуют следующие особенности поведения полей:
|
||
Фильтр |
Условия определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать в раскрывающемся списке существующий фильтр или Создать, чтобы создать новый фильтр. Не используйте в правилах агрегации фильтры с операндом TI или операторами TIDetect, inActiveDirectoryGroup и hasVulnerability. Поля |
В поставку KUMA включены перечисленные в таблице ниже правила агрегации.
Предустановленные правила агрегации
Название правила агрегации |
Описание |
[OOTB] Netflow 9 |
Правило сработает при достижении 100 событий или по истечении 10 секунд. Агрегация событий выполняется по следующим полям:
Поля |