Advanced Search
Search Results
120 total results found
Типы хранения данных в KUMA
В KUMA существует три типа пространства для хранения событий: Горячее Холодное Архивное Для оптимизации использования дискового пространства и ускорения выполнения запросов в KUMA введено несколько уровней устройств хранения: Горячее (hot) - быстрод...
Обогащение событий информацией об Активах
Активы могут попасть в KUMA следующими способами: От KSC (FQDN, IP, MAC, Имя ассета (в KSC, Владелец [Principal name], Информация об уязвимостях, Информация об установленном ПО, Информация о hardware). KUMA импортирует из базы KSC сведения об устройствах с ...
Описание процесса работы c инцидентами в KUMA
Ниже приведено описание основного функционала KUMA задействованного в управлении инцидентами. Алерты Создание алерта Алерт создается в результате сработки корреляционного правила на основе поступивших событий, он является подозрением на инцидент. Чтобы...
Замена сертификата (веб - интерфейсе) KUMA
Процесс перевыпуска сертификата ядра в версии KUMA 3.2 был изменен! Актуальная информация приведена в онлайн-справке: https://support.kaspersky.ru/help/KUMA/3.2/ru-RU/275543.htm и https://support.kaspersky.ru/kuma/3.2/217747 Общая информация После установки ...
Интеграция Grafana c ClickHouse в KUMA
Интеграция является не официальной (не поддерживается) Скачиваем и устанавливаем плагин: Далее настраиваем в Connections (в старых версиях: Home - Administration - Data sources) по этому плагину: Предварительно проверьте доступ к порту 8123, если доступ...
Интеграция KUMA с Active Directory (AD)
При интеграции с AD/ADFS важно иметь единое время на системах, настоятельно рекомендуется настроить NTP Аутентификация работает только для одного домена. Поэтому все группы должны быть созданы в корневом домене. Пример инфраструктуры AD: корне...
Сегментация правил корреляции
По умолчанию, если в корреляторе какое-то правило корреляции сработает несколько раз, все созданные в результате этого корреляционные события будут присоединены к одному алерту. Правила сегментации алертов дают возможность определить условия, при которых на ос...
Настройка мониторинга источников с алертом
В рамках данной статьи настроим политику мониторинга определенного источника с взведением алерта при срабатывании политики. На системы приходят следующие события: Имеем следующий источник событий (перейдите (в меню слева) на вкладку Состояние источников): ...
KICS 3.1 и ниже
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Данная инструкция предназначена строго для версии KICS for Networks 3.1 или ниже. Инструкция для версии 4....
KICS 4.0 и выше
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Данная инструкция предназначена строго для версии KICS for Networks 4.0 или ниже. Инструкция для версии 3....
Отправка уведомления в телеграм-бот со ссылкой на KATA и KUMA
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Данный сценарий рекомендуется использовать только в демонстрационных целях! Правило корреляции из данного ...
MS WEC
✔️ Рекомендуется - Рекомендуемый способ сбора для этого источника событий Настройка сбора событий с устройств Windows при помощи Агента KUMA (WEC). Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ...
Аудит изменений по активам
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspers...
CookBook по регулярным выражениям (REGEX)
Проверка работы регулярок (выставить флаги gm): https://regexr.com/ https://regex101.com/ Доп чтиво: https://habr.com/ru/articles/545150/ https://regex.sorokin.engineer/ru/latest/regular_expressions.html В KUMA все группы которые участвуют в м...
Установка службы хранилища (если этого не произошло при установке)
Данная инструкция применима только в случае, если KUMA была успешно установлена, но служба хранилища не была развернута из демонстрационных ресурсах. Инструкция приведенная ниже подразумевает, что все действия и команды выполняются на серверах с размещенными ф...
MS Exchange
По Exchange KUMA анализирует Message Tracking Log (MTL) в формате CSV. Пример лога: #Software: Microsoft Exchange Server#Version: 15.01.1034.026#Log-type: Message Tracking Log#Date: 2017-09-15T20:01:45.863Z#Fields: date-time,client-ip,client-hostname,serve...
Выгрузка LDAP информации в словарь KUMA
Предварительно нужно выполнить настройку обогащение по этой статье https://kb.kuma-community.ru/books/integracii/page/ldap-obogashhenie Шаг 1. Нам нужно выгрузить сопоставление, например login(sAMAccountName)-mail. Создаете словарь типа таблица (важно), ключ...
Приемы парсинга событий
Парсинг нестандартной даты Ветвление событий от beats в зависимости от input типа Даны следующие типы событий (содержимое тестового сообщения сокращено для лучшего понимания): {"tags":["beats_input_raw_event"],"input":{"type":"filestream"}} {"message...