Контекстная таблица – это контейнер для массива данных, которые используются корреляторами KUMA при анализе событий по правилам корреляции.
Например, если вам нужно определить [сценарий], вы можете:
В этом случае KUMA выберет все события, которые содержат IP-адреса, внесенные в активный лист, и создаст корреляционное событие.
Вы можете наполнять контекстные таблицы автоматически с помощью корреляционных правил или импортировать файл с данными для контекстной таблицы.
Вы можете добавлять, копировать и удалять контекстные таблицы, а также изменять их настройки.
Контекстные таблицы можно использовать в следующих сервисах и функциях KUMA:
Одна и та же контекстная таблицы может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность контекстной таблицы. Таким образом, содержимое контекстных таблиц, используемых разными корреляторами, различается, даже если идентификатор и название контекстных таблиц одинаковые.
В контекстную таблицу добавляются данные только по правилам корреляции, добавленным в коррелятор.
Вы можете добавлять, изменять, дублировать, удалять и экспортировать записи в контекстной таблице коррелятора.
В процессе корреляции при удалении записей из контекстных таблиц в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Служебные события отправляются на обработку правилами корреляции того коррелятора, где работает контекстная таблица. Правила корреляции можно настроить на отслеживание этих событий, чтобы с их помощью распознавать угрозы.
Поля служебных событий удаления записи из контекстной таблицы описаны ниже.
Поле события |
Значение или комментарий |
|
Идентификатор события |
|
Время удаления записи, срок жизни которой истек |
|
|
|
|
|
|
|
Идентификатор коррелятора |
|
Название коррелятора |
|
Идентификатор контекстной таблицы |
|
Ключ записи, срок жизни которой истек. |
|
Увеличенное на единицу количество обновлений удаленной записи |