Advanced Search
Search Results
99 total results found
Тестирование нормализации и нагрузки бинарем KUMA
Иполняемый файл KUMA имеет на борту полезный функционал тестирования, он может использоваться в отрыве от системы KUMA (полностью отдельно) и вот его параметры запуска: ./kuma tools load --raw --events checkpoint-example.log --cfg config.cfg --limit 5000 --r...
Интеграция KUMA с KSC
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspers...
Интеграция CyberTrace с KUMA
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspers...
Настройка отказоустойчивости компонентов KUMA
Отказоустойчивость реализована встроенным функционалом KUMA для компонентов: Коррелятор и Хранилище (подробнее про кластер Хранилища). Для компонента Коллектор отказоустойчивость системы достигается за счёт комбинации наложенных средств HAProxy, Агента KUMA ил...
Схема сетевого взаимодействия KUMA (Архитектура)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Полная таблица доступов по портам KUMA: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/217770.htm Меж...
Установка агента в режиме диод (Diode)
Схема работы сбора в режиме diode Агент, находящийся в изолированном сегменте сети, собирает события с источников и перемещает их в директорию источник, откуда их забирает диод (дата-диод). Диод переносит файлы в директорию назначения основной сети, удаляя ...
Монтирование папки в KUMA
С версии KUMA 3.2 агент для Windows имеет возможность читать логи из файлов на ОС Windows. Таким образом, для некоторых случаев целесообразно использовать агентов для чтения логов локально без монтирования директорий. Для чтения файла логов коллектором KUMA н...
MS DNS
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Для KUMA 3.2 добавился новый способ сбора DNS логов в формате ETW. Подробнее в статье: https://kb.kuma-com...
MS WMI
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Схема работы сбора по WMI Настройка аудита отдельного сервера Для настройки аудита на рядовом сервер...
Сбор событий AuditD с помощью Rsyslog
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspers...
Устройство кластера хранилища
Кластер - логическая группа машин, обладающих всеми накопленными нормализованными событиями KUMA. Подразумевает наличие одного или нескольких логических шардов. Shard (шард) - логическая группа машин, обладающих некоторой частью всех накопленных в кластере но...
GeoIP-обогащение (Геоданными)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspers...
Запросы в KUMA (примеры)
Описание функций ClickHouse для работы с запросами: https://clickhouse.com/docs/ru/sql-reference/functions/ Запрос из интерфейса пробрасывается в БД с добавлением границ временного промежутка и выбранных тенантов, пример: ... AND (Timestamp >= 1715689595208 ...
Приемы в правилах корреляции
Сравнение с константой Сравнение с листом/списком Аналогично =константе ИЛИ =константе Содержит список констант регистронезависимый Ищется заданная подстрока “whoami” или "ipconfig" и др в занчении поля DestinationProcessName Соответст...
Описание готовых интеграций по реагированию
Весь актуальный и новый контент с описанием добавляется в GitHub - https://github.com/KUMA-Community Реагирование из коробки KUMA Реагирование на KES через KSC: Запуск задачи обновления баз KES Запуск задачи сканирования KES Реагирование KEDR: ...
Приемы парсинга событий
Парсинг нестандартной даты Ветвление событий от beats в зависимости от input типа Даны следующие типы событий (содержимое тестового сообщения сокращено для лучшего понимания): {"tags":["beats_input_raw_event"],"input":{"type":"filestream"}} {"message...
MS WEC
Настройка сбора событий с устройств Windows при помощи Агента KUMA (WEC). Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Официальная документация по д...
KSC MS SQL
✔️ Рекомендуется - Рекомендуемый способ сбора для этого источника событий Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора. Официальная документация по дан...
Первичный Траблшут в KUMA (Troubleshoot)
Проверка статуса основных компонентов Основные службы KUMA: systemctl status kuma-collector-ID_СЕРВИСА.service systemctl status kuma-correlator-ID_СЕРВИСА.service systemctl status kuma-storage-ID_СЕРВИСА.service systemctl status kuma-core.service systemc...