Advanced Search
Search Results
94 total results found
Типы хранения данных в KUMA
В KUMA существует три типа пространства для хранения событий: Горячее Холодное Архивное Для оптимизации использования дискового пространства и ускорения выполнения запросов в KUMA введено несколько уровней устройств хранения: Горячее (hot) - оперативное хра...
Обогащение событий информацией об Активах
Начиная с версии 4.0 обогащение активами стало явным. Теперь для настройки обогащения необходимо создать и добавить на коллектор правило обогащения типа "обогащение активами".Обогащения созданные до обновления остаются как inline-ресурсы, а все созданные после...
Описание процесса работы c инцидентами в KUMA
Ниже приведено описание основного функционала KUMA задействованного в управлении инцидентами. Алерты Создание алерта Алерт создается в результате сработки корреляционного правила на основе поступивших событий, он является подозрением на инцидент. Чтобы...
Замена сертификата (веб - интерфейсе) KUMA
Процесс перевыпуска сертификата ядра в версии KUMA 3.2 был изменен! Актуальная информация приведена в онлайн-справке: https://support.kaspersky.ru/help/KUMA/3.2/ru-RU/275543.htm и https://support.kaspersky.ru/kuma/3.2/217747 Общая информация После установки ...
Интеграция Grafana c событиями в KUMA
Интеграция является не официальной (не поддерживается) Подключение по API KUMA Для возможности обращения в KUMA предварительно необходимо создать пользователя с необходимыми правами (на этом же этапе задаём необходимую роль\тенанты), переходим в KUMA – Access ...
Интеграция KUMA с Active Directory (AD)
При интеграции с AD/ADFS важно иметь единое время на системах, настоятельно рекомендуется настроить NTP Аутентификация работает только для одного домена. Поэтому все группы должны быть созданы в корневом домене. Пример инфраструктуры AD: корне...
Сегментация правил корреляции
По умолчанию, если в корреляторе какое-то правило корреляции сработает несколько раз, все созданные в результате этого корреляционные события будут присоединены к одному алерту. Правила сегментации алертов дают возможность определить условия, при которых на ос...
Настройка мониторинга источников с алертом
В рамках данной статьи настроим политику мониторинга определенного источника с взведением алерта при срабатывании политики. На системы приходят следующие события: Имеем следующий источник событий (перейдите (в меню слева) на вкладку Состояние источников): ...
Аудит изменений по активам
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspers...
CookBook по регулярным выражениям (REGEX)
Проверка работы регулярок (выставить флаги gm): https://regexr.com/ https://regex101.com/ Доп чтиво: https://habr.com/ru/articles/545150/ https://regex.sorokin.engineer/ru/latest/regular_expressions.html В KUMA все группы которые участвуют в м...
Сбор событий auditd с помощью Syslog-ng
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Создание коллектора KUMA Для создания коллектора в веб-интерфейсе KUMA: Перейдите в раздел Ресурсы и н...
Установка службы хранилища (если этого не произошло при установке)
Данная инструкция применима только в случае, если KUMA была успешно установлена, но служба хранилища не была развернута из демонстрационных ресурсах. Инструкция приведенная ниже подразумевает, что все действия и команды выполняются на серверах с размещенными ф...
Что такое SIEM и Приоритет подачи журналов в SIEM
Вводная SIEM Термин SIEM был впервые введён Gartner в 2005. В 2015, был представлен концепт "next-gen SIEM" или SIEM 2.0. Основное отличие – введение user behavioral analytics (UBA). Next-gen SIEM ориентированы в первую очередь на применение в очень крупном ...
MS Exchange
По Exchange KUMA анализирует Message Tracking Log (MTL) в формате CSV. Пример лога: #Software: Microsoft Exchange Server#Version: 15.01.1034.026#Log-type: Message Tracking Log#Date: 2017-09-15T20:01:45.863Z#Fields: date-time,client-ip,client-hostname,serve...
Windows Агент NXLog
NXLog Community Edition может использоваться в качетсве альтернативного агента для сбора и отправки событий с файлов или Event журналов Windows, ниже будут примеры конфигураций для этих настроек: Сбор с файлов Загрузить Агент: https://nxlog.co/products/nxl...
Аналог netcat с помощью PowerShell на Windows
Часто для проверки поступления события требуется специальные утилиты для отправки тестового сообщения с Windows машины на коллектор, в рамках этой статьи будет представлен скрипт на PowerShell , с помощью которого можно будет отправить тестовое сообщение по IP...
Linux Агент NXLog
NXLog Community Edition может использоваться в качетсве альтернативного агента для сбора и отправки событий с файлов на ОС Linux. Необходимые пакеды для установки агента: https://box.kaspersky.com/f/ca3202dbb39b4b5c929c/ Загрузить Агент (для установки на ...
Выгрузка LDAP информации в словарь KUMA
Предварительно нужно выполнить настройку обогащение по этой статье https://kb.kuma-community.ru/books/integracii/page/ldap-obogashhenie Инструкция для KUMA до версий 4.0 Шаг 1. Нам нужно выгрузить сопоставление, например login(sAMAccountName)-mail. Создаете...