Recently Updated Pages
Обработка многострочных событий на примере AuditD в KUMA
Официальный способ получения multiline auditd - через переключатель "auditd", который доступен в ...
Приемы парсинга событий
Парсинг нестандартной даты Ветвление событий от beats в зависимости от input типа Даны сл...
Сегментация правил корреляции
По умолчанию, если в корреляторе какое-то правило корреляции сработает несколько раз, все созданн...
Производительность правил корреляции
Написание правил В правилах корреляции очередность условий в селекторах имеет значение Уникальн...
Тестирование правил корреляции
Для тестирования правил можно использовать ретроскан (из раздела “События”), предварительно это п...
Активные листы в корреляторе
Активный лист – это контейнер для данных (представляет собой структуру ключ и значение), предназн...
Операционное правило (operational)
“Обновить параметры” нужно делать в корреляторе, когда какое-либо правило меняется, чтобы подтяну...
Стандартное правило (standard)
“Обновить параметры” нужно делать в корреляторе, когда какое-либо правило меняется, чтобы подтяну...
Простое правило (simple)
“Обновить параметры” нужно делать в корреляторе, когда какое-либо правило меняется, чтобы подтяну...
Приемы в правилах корреляции
Сравнение с константой Сравнение с листом/списком Аналогично =константе ИЛИ =константе ...
Импорт информации об активах RedCheck
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или communit...
Nessus и OWASP ZAP
В KUMA можно импортировать сведения об активах из отчетов о результатах сканирования устройств с ...
Настройка автоматического реагирования KUMA с помощью задач KSC
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или communit...
Запуск скрипта коррелятором
Интерпретатор скрипта должен поддерживаться ОС на которой находится скрипт. Для того чтобы корре...
Обогащение произвольного поля с утилитой Tracer
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или communit...
Обогащение событий информацией об Активах
Активы могут попасть в KUMA следующими способами: От KSC (FQDN, IP, MAC, Имя ассета (в KSC, Вл...
LDAP-обогащение
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или communit...
Аудит изменений по активам
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или communit...
Описание процесса работы c инцидентами в KUMA
Ниже приведено описание основного функционала KUMA задействованного в управлении инцидентами. ...
Типы хранения данных в KUMA
В KUMA существует три типа пространства для хранения событий: Горячее Холодное Архивное Д...