Параметр
|
Описание
|
Название
|
Уникальное имя ресурса. Максимальная длина имени: до 128 символов в кодировке Unicode.
Обязательный параметр.
|
Тенант
|
Название тенанта, которому принадлежит ресурс.
Обязательный параметр.
|
Состояние
|
События требуется отправлять в точку назначения.
По умолчанию переключатель выключен.
|
Тип
|
Тип точки назначения. Вам нужно выбрать nats-jetstream.
Обязательный параметр.
|
URL
|
URL-адрес, с которым требуется установить связь.
Обязательный параметр.
|
Топик
|
Тема сообщений NATS. Вам нужно указать символы в кодировке Unicode.
Обязательный параметр.
|
Разделитель
|
Символ, определяющий границу между событиями. Доступные значения:
Если вы не выбираете значение, по умолчанию выбирается \n.
|
Авторизация
|
Тип авторизации при подключении к указанному URL-адресу Доступные значения:
- выключена. Значение по умолчанию.
- обычная. При выборе этого значения вам нужно указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к точке назначения.
Как добавить секрет?
Чтобы добавить секрет:
- Если вы создали секрет, выберите его в раскрывающемся списке Секрет. При отсутствии созданных секретов в раскрывающемся списке Секрет отображается Нет данных.
- Если вы хотите добавить новый секрет, справа от списка Секрет нажмите на кнопку .
Откроется окно Секрет.
- В поле Название введите название секрета.
- В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
- При необходимости в поле Описание добавьте дополнительную информацию о секрете.
- Нажмите на кнопку Сохранить.
Секрет будет добавлен и отобразится в списке Секрет.
|
Описание
|
Описание ресурса. Максимальная длина описания: до 4000 символов в кодировке Unicode.
|
Параметр
|
Описание
|
Сжатие
|
Использование сжатия Snappy. Доступные значения:
- Выключено. Значение по умолчанию.
- С помощью Snappy.
|
Размер буфера
|
Размер буфера точки назначения в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера точки назначения по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера точки назначения: 67 108 864 байта (64 МБ).
|
Размер дискового буфера
|
Размер дискового буфера точки назначения в байтах. Значение по умолчанию: 10 ГБ.
|
Идентификатор кластера
|
Идентификатор кластера NATS.
|
Выходной формат
|
Формат отправки событий во внешний источник. Доступные значения:
- JSON.
- CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
|
Режим TLS
|
Режим шифрования TLS. Доступные значения:
- Выключено – не использовать шифрование TLS. Значение по умолчанию.
- Включено – использовать шифрование TLS, но без верификации сертификатов.
- С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в папку /opt/kaspersky/kuma/core/certificates/.
- Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения вам нужно выбрать секрет с сертификатом, подписанным центром сертификации, в раскрывающемся списке Нестандартный CA.
Как создать сертификат, подписанный центром сертификации?
Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL).
Чтобы создать сертификат, подписанный центром сертификации:
- Создайте ключ, который будет использоваться центром сертификации, например:
openssl genrsa -out ca.key 2048
- Создайте сертификат для созданного ключа, например:
openssl req -new -x509 -days 365 -key ca.key -subj "/CN=< общее имя хоста центра сертификации >" -out ca.crt
- Создайте приватный ключ и запрос на его подписание в центре сертификации, например:
openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=< общее имя хоста сервера KUMA >" -out server.csr
- Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную
subjectAltName доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например:openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
- Загрузите созданный сертификат
server.crt в веб-интерфейсе KUMA в секрет типа certificate, после чего выберите секрет типа certificate в раскрывающемся списке Нестандартный CA.
Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку x509: certificate signed by unknown authority .
При использовании шифрования TLS вы не можете указать IP-адрес в качестве URL.
|
Разделитель
|
В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n .
|
Интервал очистки буфера
|
Интервал в секундах для отправки данных в точку назначения. Значение по умолчанию: 1 секунда.
|
Количество обработчиков
|
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Значение по умолчанию равняется количеству vCPU сервера, на котором установлено Ядро KUMA.
|
Отладка
|
Логирование ресурса. По умолчанию переключатель выключен.
|
Дисковый буфер
|
Использование дискового буфера. По умолчанию дисковый буфер включен.
Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём назначенного дискового пространства ограничен значением, указанном в поле Размер дискового буфера.
Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.
|
Фильтр
|
Условия определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать фильтр.
Как создать фильтр?
Чтобы создать фильтр:
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
- В блоке параметров Условия укажите условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите оператор.
Операторы фильтров
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False .
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
|