Контекстные таблицы

Контекстная таблица – это контейнер для массива данных, которые используются корреляторами KUMA при анализе событий по правилам корреляции. Вы можете создать контекстные таблицы в разделе Ресурсы. Данные контекстной таблицы хранятся только в корреляторе, в который она была добавлена с помощью фильтров или действий в корреляционных правилах.

Вы можете наполнять контекстные таблицы автоматически с помощью корреляционных правил типа simple и operational или импортировать файл с данными для контекстной таблицы.

Вы можете добавлять, копировать и удалять контекстные таблицы, а также изменять их настройки.

Контекстные таблицы можно использовать в следующих сервисах и функциях KUMA:

• Правила корреляции.
• Панель мониторинга.

Одна и та же контекстная таблицы может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность контекстной таблицы. Таким образом, содержимое контекстных таблиц, используемых разными корреляторами, различается, даже если идентификатор и название контекстных таблиц одинаковые.

В контекстную таблицу добавляются данные только по правилам корреляции, добавленным в коррелятор.

Вы можете добавлять, изменять, удалять, импортировать и экспортировать записи в контекстной таблице коррелятора.

При удалении записей из контекстных таблиц по истечении срока жизни записи в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Служебные события отправляются на обработку правилами корреляции того коррелятора, где работает контекстная таблица. Правила корреляции можно настроить на отслеживание этих событий, чтобы с их помощью обабатывать события и распознавать угрозы.

Поля служебных событий удаления записи из контекстной таблицы описаны ниже.

Поле события	Значение или комментарий
ID	Идентификатор события.
Timestamp	Время удаления записи, срок жизни которой истек.
Name	"context table record expired"
DeviceVendor	"Kaspersky"
DeviceProduct	"KUMA"
ServiceID	Идентификатор коррелятора.
ServiceName	Название коррелятора.
DeviceExternalID	Идентификатор контекстной таблицы.
DevicePayloadID	Ключ записи, срок жизни которой истек.
BaseEventCount	Увеличенное на единицу количество обновлений удаленной записи.
FileName	Имя контекстной таблицы.
S.<поле контекстной таблицы> SA.<поле контекстной таблицы> N.<поле контекстной таблицы> NA.<поле контекстной таблицы> F.<поле контекстной таблицы> FA.<поле контекстной таблицы>	В зависимости от типа выпавшей записи в контекстной таблице, выпавшая запись контекстной таблицы будет записана в соответствующий тип события: например, S.<поле контекстной таблицы> = <значение контекстной таблицы> SA.<поле контекстной таблицы> = <массив значений контекстной таблицы>   Записи контекстной таблицы типа boolean имеют следующий вид: S.<поле контекстной таблицы> = true/false SA.<поле контекстной таблицы> = false,true,false

В этом разделе Просмотр списка контекстных таблиц Добавление контекстной таблицы Просмотр параметров контекстной таблицы Изменение параметров контекстной таблицы Дублирование параметров контекстной таблицы Удаление контекстной таблицы Просмотр записей контекстной таблицы Поиск записей в контекстной таблице Добавление записи в контекстную таблицу Изменение записи в контекстной таблице Удаление записи из контекстной таблицы Импорт данных в контекстную таблицу Экспорт данных из контекстной таблицы

В начало