Kaspersky

Подключение источников производителя Kaspersky

KSC CEF
KSC MS SQL
KSC PostgreSQL
KLMS
KSMG 1.1
KSMG 2.0
KWTS 6.0
KATA
KEDR 4.0-4.1
KEDR 5.0-6.0
KEDR 5.1-6.0 (Телеметрия EDR по API)
KICS 3.1 и ниже
KICS 4.0 и выше

KSC CEF

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/241235.htm

Функция экспорта событий Kaspersky Security Center в SIEM-системы в формате CEF доступна при наличии лицензии Kaspersky Endpoint Security для бизнеса Расширенный или выше.

Настройка передачи событий KSC в формате CEF

Чтобы настроить передачу событий от Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA:

1. В дереве консоли Kaspersky Security Center выберите узел Сервер администрирования.

2. В рабочей области узла выберите вкладку События.

3. Перейдите по ссылке Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите Настроить экспорт в SIEM-систему.

Откроется окно Свойства: События.

4. Установите флажок Автоматически экспортировать события в базу SIEM-системы.

5. В раскрывающемся списке SIEM-система выберите ArcSight (CEF-формат).

6. Укажите адрес сервера SIEM-системы KUMA и порт для подключения к серверу в соответствующих полях.

По кнопке Экспортировать архив Kaspersky Security Center экспортирует уже созданные события в базу SIEM-системы KUMA с указанной даты. По умолчанию Kaspersky Security Center экспортирует события с текущей даты.

7. Нажмите на кнопку ОК.

Настройка коллектора KUMA

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.

2. В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC и откройте его для редактирования.

Что делать, если ресурс не доступен для редактирования

Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.

Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

3. На шаге Транспорт в поле URL укажите порт, по которому коллектор будет получать события Kaspersky Security Center.

4. Порт должен совпадать с портом сервера SIEM-системы KUMA, указанным в настройках на стороне KSC.

5. На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Хранилище. Для отправки обработанных событий в хранилище.
Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.

KSC MS SQL

Рекомендуемый способ сбора для этого источника

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/245386.htm

Настройка БД MS SQL

Для сбора событий из БД MS SQL необходимо создать учетную запись с соответствующеми правами. Для этого выполните следующие действия:

1. Перейдите на сервер, где установлена БД MS SQL для KSC. С помощью Microsoft SQL Server Management Studio подключитесь к БД из-под учетной записи, обладающей правами администратора в БД.

2. Перейдите в соответствующий экземпляр БД MS SQL на вкладку Security и для вкладки Logins выберите New Login...

3. Добавьте учетную запись пользователя, с помощью которой будет осуществляться доступ к БД KSC

4. Установите для учетной записи БД KSC в качестве БД по умолчанию (по умолчанию в KSC используется БД KAV).

5. Настройте учетной записи права db_datareader и public для БД KSC в соответствии с изображением ниже.

6. Убедитесь, что созданной учетной записи разрешено подключение к БД.

Для проверки прав созданной учетной записи можно запустить Microsoft SQL Management Studio от имени созданного пользователя (с зажатым Shift нажать ПКМ и выбрать Запуск от имени другого пользователя). Затем перейти в любую таблицу БД KSC и сделать выборку по этой таблице.

Настройка SQL Server Browser

Для подключения к серверу MS SQL для сбора событий необходимо настроить соответствующую службу и разрешить входящие подключения. Для этого выполните следующие действия:

1. Откройте оснастку SQL Server Configuration Manager. Запустите службу SQL Server Browser и задайте автоматический запуск службы.

2. Включите TCP/IP протокол для соответствующего экземпляра БД.

3. В свойствах протокола, на вкладке IP Addresses для поля IPALL в TCP Port укажите значение 1433.

4. Перезапустите службу экземпляра SQL сервера.

5. Разрешите на сервере входящие подключения по порту 1433. Это можно сделать в оснастке Брандмауэр защитника Windows в режиме повышенной безопасности.

Создание секрета KUMA

Для подключения к БД MS SQL со стороны KUMA необходимо создать строку подключения. Для этого выполните следующие действия:

1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты и нажмите на кнопку Добавить секрет.

2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.

3. Задайте секрету тип urls и в поле URL укажите строку вида:
sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/KAV

Примеры

sqlserver://test.local%5Cuser:password123!@10.0.0.1:1433/KAV
sqlserver://user:password123!@server.demo.lab:1433/KAV

%5C – используется для разделения домена и пользователя и представляет собой знак \ в URL-формате.
Если в пароле пользователя используются спецсимволы их также необходимо перевести в URL формат в соответствии с таблицей ниже.

!	#	$	%	&	'	(	)	*	+
%21	%23	%24	%25	%26	%27	%28	%29	%2A	%2B
,	/	:	;	=	?	@	[	]	\
%2C	%2F	%3A	%3B	%3D	%3F	%40	%5B	%5D	%5C

Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/ пример:

4. Сохраните созданный секрет.

Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.

Настройка коннектора

1. Для подключения к БД MS SQL необходимо настроить коннетор. Для этого выполните следующие действия

2. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.

3. В списке коннекторов справа найдите коннектор [OOTB] KSC SQL и откройте его для редактирования.

Что делать, если ресурс не доступен для редактирования

4. На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный для подключения к БД MS SQL.

5. Нажмите Сохранить.

Настройка коллектора

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.

2. В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC from SQL и откройте его для редактирования.

Что делать, если ресурс не доступен для редактирования

3. На шаге Транспорт выберите коннектор [OOTB] KSC SQL

4. На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC from SQL.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Хранилище. Для отправки обработанных событий в хранилище.
Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.

Альтернативный вариант создания коллектора

В случае, если предполагается использование коробочных ресурсов без изменений:

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Секреты

2. Откройте на редактирование секрет [OOTB] KSC MSSQL connection

3. Задайте в секрете строку подключения в соответствии с разделом "Создание секрета KUMA"

4. Сохраните созданный секрет с помощью кнопки "Сохранить"

5. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Хранилище. Для отправки обработанных событий в хранилище.
Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.

KSC PostgreSQL

Настройка PostgreSQL

Настройки на сервере БД PostgreSQL можно выполнять в консоли (SSH, терминал ОС) или средствами утилиты pgAdmin (требуется установка).

В данной статье сервер БД PostgreSQL работает под управлением ОС Astra Linux, а все настройки выполняются в консоли.

Для удобства в базе данных PostgreSQL Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA [OOTB] KSC PostgreSQL содержит уже готовые запросы к публичным представлениям v_akpub_ev_event и v_akpub_host.

Коннектор [OOTB] KSC PostgreSQL позволяет экспортировать события из БД PostgreSQL Kaspersky Security Center (KSC) версии 15.0.

Проверена работоспособность коннектора с KSC 14.2 Windows (БД PostgreSQL).

Проверка имени БД KSC

Чтобы проверить имя базы данных KSC можно воспользоваться следующей статьей:

https://support.kaspersky.ru/ksc-linux/15/228689 (KSC Linux)

Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:

Измените текущего пользователя на postgres

sudo -i -u postgres

Запустите интерактивный терминал PostgreSQL и выведите список баз данных сервера

psql

\l # вывод списка баз данных сервера

Создание роли БД и предоставление прав

В консоли сервера, где установлена БД PostreSQL KSC, измените текущего пользователя на postgres

sudo -i -u postgres

Запустите интерактивный терминал PostgreSQL

psql

Также для создания роли БД и предоставления ей соответствующих прав можно использовать существующую учетную запись с атрибутом role creation и правами доступа к публичным представлениям.

Пример подключения к БД:
psql -U <имя УЗ> -d <имя БД KSC>

Создайте роль пользователя kuma

CREATE USER kuma WITH PASSWORD '<задайте пароль>';

Подключитесь к БД KSC (см. Раздел "Проверка имени БД KSC". По умолчанию KAV)

\connect KAV

Предоставьте права роли KUMA

GRANT SELECT ON v_akpub_ev_event TO kuma;
GRANT SELECT ON v_akpub_host TO kuma;
GRANT SELECT ON v_akpub_virus_activity TO kuma;
GRANT SELECT ON v_akpub_hst_prdstate TO kuma;
GRANT SELECT ON v_akpub_host_status TO kuma;

Настройка удаленного доступа к БД PostgreSQL и метода аутентификации

Откройте файл /etc/postgresql/<версия БД PostgreSQL>/main/pg_hba.conf и в секции IPv4 local connections добавьте следующую строку

host   <имя БД,например, KAV>   kuma   <IP-адрес коллектора KUMA>/32   scram-sha-256

Откройте файл конфигурации /etc/postgresql/<версия БД PostgreSQL>/main/postgresql.conf и в секции CONNECTIONS AND AUTHENTICATION укажите IP-адрес интерфейса сервера БД, на котором будут "прослушиваться" входящие соединения

После внесения изменений и сохранения файла конфигурации выполните рестарт сервиса PostgreSQL

systemctl restart postgresql

При необходимости разрешите входящие соединения на порт БД PostgreSQL (по умолчанию, TCP/5432) в параметрах локального FW.

Создание секрета KUMA

1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты

2. Выберите секрет [OOTB] KSC PostgreSQL connection и нажмите Дублировать.

3. В появившемся окне задайте:

Название секрета
URL (формат URL можно взять из Описания к секрету). В поле URL укажите:
- Имя ранее созданной роли (в нашем примере это kuma) и ее пароль;
- IP-адрес или FQDN сервера БД;
- Наименование БД KSC (по умолчанию KAV. См. Проверка имени БД KSC).

Если в пароле используются спецсимволы необходимо перевести данные спецсимволы в URL формат в соответствии с таблицей ниже.

Примеры

postgres://kuma:p%40ssword123%21@server.demo.lab/KAV

!	#	$	%	&	'	(	)	*	+
%21	%23	%24	%25	%26	%27	%28	%29	%2A	%2B
,	/	:	;	=	?	@	[	]	\
%2C	%2F	%3A	%3B	%3D	%3F	%40	%5B	%5D	%5C

Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/

Пример:

По умолчанию коллектор KUMA при обращении к БД PostgreSQL будет пытаться построить TLS-туннель. Если на стороне сервера БД не настроено использование SSL/TLS (что НЕ рекомендуется!) в URL секрета необходимо добавить "?sslmode=disable", чтобы строка приняла следующий вид:
postgres://user:password@server/database?sslmode=disable

4. Нажмите Сохранить.

Настройка коннектора

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы

2. В списке коннекторов справа найдите коннектор [OOTB] KSC PostgreSQL и нажмите Дублировать

3. В появившемся окне задайте:

Название коннектора
На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный ранее для подключения к БД PostgreSQL KSC.

4. Нажмите Сохранить.

Настройка коллектора

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы и нажмите Подключить источник

2. В появившемся окне задайте Название коллектора и Тенант

3. На шаге Транспорт выберите ранее созданный коннектор

4. На шаге Парсинг событий выберите нормализатор [OOTB] KSC from SQL.

5. На шаге Маршрутизация задайте следующие точки назначения:

Хранилище. Для отправки обработанных событий в хранилище.
Коррелятор. Для отправки обработанных событий в коррелятор.

6. На шаге Проверка параметров нажмите Сохранить и создать сервис.

7. Скопируйте появившуюся команду и выполните установку сервиса коллектора.

Проверка поступления событий KSC в KUMA

Для проверки, что экспорт событий из БД KSC успешно настроен, перейдите в Ресурсы -> Активные сервисы -> выберите ранее созданный коллектор KSC PostgreSQL и нажмите Перейти к событиям.

В открывшемся окне События убедитесь, что присутствуют события KSC.

KLMS

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm

Настройка передачи событий KLMS в KUMA

Чтобы настроить передачу событий KLMS в KUMA:

1. Подключитесь к серверу KLMS по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.

2. С помощью утилиты klms-control выгрузите настройки в файл settings.xml:

sudo /opt/kaspersky/klms/bin/klms-control --get-settings EventLogger -n -f /tmp/settings.xml

3. Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:

<siemSettings>
<enabled>1</enabled>
<facility>Local1</facility>

4. Примените настройки с помощью следующей команды:

sudo /opt/kaspersky/klms/bin/klms-control --set-settings EventLogger -n -f /tmp/settings.xml

5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf.

$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>

6. Сохраните внесённые изменения.

7. Перезапустите сервис rsyslog с помощью следующей команды:

sudo systemctl restart rsyslog.service

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KLMS.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KLMS.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KLMS syslog CEF.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Настройка получения событий KLMS (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm

KSMG 1.1

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254785.htm

Настройка передачи событий KSMG в KUMA

Данная инструкция применима для KSMG версии 1.1

Чтобы настроить передачу событий KSMG в KUMA:

1. Подключитесь к серверу KSMG по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.

2. С помощью утилиты ksmg-control выгрузите настройки в файл settings.xml:

sudo /opt/kaspersky/ksmg/bin/ksmg-control --get-settings EventLogger -n -f /tmp/settings.xml

3. Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:

<siemSettings>
<enabled>1</enabled>
<facility>Local1</facility>

4. Примените настройки с помощью следующей команды:

sudo /opt/kaspersky/ksmg/bin/ksmg-control --set-settings EventLogger -n -f /tmp/settings.xml

5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf.

$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>

6. Сохраните внесённые изменения.

7. Перезапустите сервис rsyslog с помощью следующей команды:

sudo systemctl restart rsyslog.service

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KSMG.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KSMG.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KSMG.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Настройка получения событий KSMG (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254785.htm

Публикация событий в SIEM-систему (онлайн-справка KSMG): https://support.kaspersky.com/help/KSMG/1.1.3/ru-RU/151504.htm

KSMG 2.0

Настройка передачи событий KSMG в KUMA

Данная инструкция применима для KSMG версии 2.0

Чтобы настроить передачу событий KSMG в KUMA:

2. Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:

"siemSettings":
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
"formatting":
{

Прочие параметры оставьте без изменений.

Перед внесением изменений в файл /etc/rsyslog.conf рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.

3. В файле /etc/rsyslog.conf измените строку:

*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

на

*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;local2.none /var/log/messages

4. Добавьте в файл /etc/rsyslog.conf следующую строку:

local2.* -/var/log/ksmg-cef-messages

5. Создайте файл /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:

touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages

6. Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл /etc/logrotate.d/ksmg-syslog следующие строки:

/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}

7. Перезапустите сервис rsyslog с помощью следующей команды:

service rsyslog restart

Если вам не требуется сохранять файлы локально, пропустите шаги 4–7 из инструкции выше

8. В веб-интерфейсе приложения в разделе Параметры → Журналы и события → События внесите изменение в значение любого параметра и нажмите на кнопку Сохранить.

Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.

9. Внесите следующие изменения в файл /etc/rsyslog.conf:

$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @<IP-адрес коллектора KUMA>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local2.* @@<IP-адрес коллектора KUMA>:<порт коллектора>

10. Перезапустите службу rsyslog. Для этого выполните команду:

service rsyslog restart

Настройка KUMA

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KSMG.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KSMG.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Публикация событий в SIEM-систему (онлайн-справка KSMG): https://support.kaspersky.com/KSMG/2.0.1/ru-RU/151504.htm

KWTS 6.0

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254373.htm

Настройка передачи событий KWTS в KUMA

Данная инструкция применима для KWTS версии 6.0

Чтобы настроить передачу событий KWTS в KUMA:

1. Подключитесь к серверу KWTS по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.

Перед внесением изменений создайте резервные копии следующих файлов:
- /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template
- /etc/rsyslog.conf

2. Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template:

"siemSettings":
{
"enabled": true,
"facility": "Local5",
"logLevel": "Info",
"formatting":
{

Прочие параметры оставьте без изменений.

3. Внести изменения в файл /etc/rsyslog.conf :

$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.* @<IP-адрес коллектора KUMA>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local5.* @@<IP-адрес коллектора KUMA>:<порт коллектора>

4. Перезапустите сервис rsyslog с помощью следующей команды:

sudo systemctl restart rsyslog.service

5. В веб-интерфейсе приложения в разделе Параметры → Syslog включите опцию Записывать информацию о профиле трафика и нажмите на кнопку Сохранить.

Дополнительный вариант логирования

Так как в CEF могут логироваться не все события, в некоторых случаях целесообразно будет также оправлять в KUMA лог из /var/log/kwts-messages. В этом логе, например, содержится GUID, который позволяет связать события в КАТА и KWTS при отправке файлов на проверку в KATA.

Для отправки на KUMA этих событий необходимо в файле /etc/rsyslog.conf добавить отправку событий с facility local1 в KUMA. Однако коллектор для этих целей потребуется другой, т.к. логи в данном случае будут не в формате CEF, а в kv. Также это потребует и разработки кастомного парсера.

Чтобы настроить отправку local1 в KUMA нужно в конец файла дописать следующее для отправки по UDP:

local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>

После перезапустите сервис rsyslog с помощью следующей команды:

sudo systemctl restart rsyslog.service

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KWTS.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KWTS.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KWTS syslog CEF.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Настройка получения событий KWTS (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254373.htm

KATA

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/240690.htm

Настройка KATA

Для настройки пересылки событий из KATA в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль центрального узла Kaspersky Anti Targeted Attack из-под учетной записи Администратора, предварительно отметив параметр Local administrator

2. Перейти в раздел Settings – SIEM System и настроить параметры отправки событий в KUMA SIEM:
Host/IP: ip или fqdn адрес коллектора KUMA
Port: порт коллектора KUMA
Protocol: TCP или UDP
Host ID: напр., kata-cn
Heartbeat: интервал в минутах

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Kaspersky Anti Targeted Attack Platform.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KATA.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KATA.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Хранилище. Для отправки обработанных событий в хранилище.
Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Настройка получения событий KATA/EDR (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/240690.htm

KEDR 4.0-4.1

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm

Настройка KEDR

Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.1, выполните следующие действия на стороне Kaspersky Endpoint Detection and Response:

1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.

2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.
Отобразится меню администратора компонента программы.

3. В меню администратора компонента программы выберите режим Technical Support Mode.

4. Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.

6. Выполните команду

sudo -i

7. В конфигурационном файле /etc/sysconfig/apt-services в поле KAFKA_PORTS удалите значение 10000.

Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000.

Настоятельно не рекомендуется использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду:

iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP

8. Выполните команду

systemctl restart apt_ipsec.service

9. В конфигурационном файле /usr/bin/apt-start-sedr-iptables в поле WEB_PORTS добавьте значение 10000 через запятую без пробела.

10. Выполните команду

sudo sh /usr/bin/apt-start-sedr-iptables

Настройка KUMA

1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> centralnode в один из следующих файлов:

%WINDIR%\System32\drivers\etc\hosts – в случае сбора телеметрии KEDR агентом KUMA для Windows.

Как отредактировать файл hosts в Windows

1. Запустите cmd.exe от имени администратора

2. Выполните команду

notepad.exe %WINDIR%\System32\drivers\etc\hosts

3. Внести изменения в файл и сохраните (Ctrl + S)

/etc/hosts file – в случае сбора телеметрии KEDR коллектором или агентом KUMA для Linux.

2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.
При создании коннектора укажите следующие параметры:

- В поле URL укажите <IP-адрес сервера Central Node>:10000
- В поле Topic укажите EndpointEnrichedEventsTopic.
- В поле Consumer group укажите любое уникальное имя.

3. В веб-интерфейсе KUMA создайте коллектор.

4. На шаге Транспорт укажите коннектор, созданный на шаге 2.

5. На шаге Парсинг событий выберите нормализатор [OOTB] KEDR telemetry.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Настройка получения событий KATA/EDR (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm

KEDR 5.0-6.0

Настройка KEDR

При импорте событий из Kaspersky Endpoint Detection and Response 5.0 действует ряд ограничений:
- Импорт событий доступен только для неотказоустойчивой версии Kaspersky Endpoint Detection and Response.
- Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
- Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.

Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 5.0, выполните следующие действия на стороне Kaspersky Endpoint Detection and Response:

3. В меню администратора компонента программы выберите режим Technical Support Mode.

4. Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.

6. Выполните команду

sudo -i

7. В конфигурационном файле /usr/local/lib/python3.8/dist-packages/firewall/create_iptables_rules.py укажите дополнительный порт 10000 для константы WEB_PORTS:

WEB_PORTS = f'10000,80,{AppPort.APT_AGENT_PORT},{AppPort.APT_GUI_PORT}'

Для KATA 6.0 файл находится по пути /opt/venv/lib/python3.11/site-packages/firewall/create_iptables_rules.py и строку надо отредактировать в таком виде:

WEB_PORTS = '10000,80,' + ','.join(

8. Выполните команды:

Кластерная подсеть по умолчанию: 198.18.0.0/16

kata-firewall stop
kata-firewall start --cluster-subnet <маска сети для адресации серверов кластера>

Настройка KUMA

1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> kafka.services.external.dyn.kata в один из следующих файлов:

%WINDIR%\System32\drivers\etc\hosts – в случае сбора телеметрии KEDR агентом KUMA для Windows.

Как отредактировать файл hosts в Windows

1. Запустите cmd.exe от имени администратора

2. Выполните команду

notepad.exe %WINDIR%\System32\drivers\etc\hosts

3. Внести изменения в файл и сохраните (Ctrl + S)

/etc/hosts file – в случае сбора телеметрии KEDR коллектором или агентом KUMA для Linux.

2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.
При создании коннектора укажите следующие параметры:

3. В веб-интерфейсе KUMA создайте коллектор.

4. На шаге Транспорт укажите коннектор, созданный на шаге 2.

5. На шаге Парсинг событий выберите нормализатор [OOTB] KEDR telemetry.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.

Случай с несколькими серверами KEDR

При наличии двух серверов EDR брокер на обоих узлах в метаданных передает одно и то же имя centralnode. Таким образом, выгрузка телеметрии через Кафку одновременно с двух разных узлов EDR становится невозможной, так как они просят клиента обращаться по одному и тому же некорректному адресу http://centralnode:10000.

Для решения проблемы:

1. на одной CN выгрузим параметры, с которым контейнер стартует:

console-settings-updater get /kata/configuration/product/kafka | python3 -m json.tool > /tmp/kafka.conf

2. Откроем в редакторе файл: vim kafka.conf и исправляем строку "external_address": "kafka.services.external.dyn.kata" на "external_address": "kafka2.services.external.dyn.kata"

3. Загружаем файл обратно в контейнер:

console-settings-updater set /kata/configuration/product/kafka @/tmp/kafka.conf

KEDR 5.1-6.0 (Телеметрия EDR по API)

Данная инструкция предназначена для версии KUMA 3.0.2, а также версий KATA 5.1 и 6.0

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm

Создание секрета

Для подключения KEDR со стороны KUMA по API необходимо создать секрет для аутентификации. Для этого выполните следующие действия:
1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты и нажмите на кнопку Добавить.
2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.
3. Нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения, после чего произойдет скачивание архива.
4. Распакуйте архив. Внутри будут файл сертификата и файл закрытого ключа.
5. Укажите Файл сертификата и Закрытый ключ в соответствии с рисунком:

6. Сохраните секрет

Настройка коллектора

После того как был создан секрет, требуется создать коллектор в веб-интерфейсе KUMA для событий KEDR.
1. На шаге Транспорт укажите тип kata/kedr и URL в формате <IP-адрес или FQDN CN KATA>:<порт, по умолчанию 443>), в поле Секрет укажите ранее созданный секрет.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KEDR telemetry.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.

В Дополнительных параметрах транспорта параметр Время ожидания получения событий означает время, за которое KATA собирает события для отправки.

Настройка KATA

Для настройки сбора событий телеметрии из KATA в SIEM KUMA необходимо выполнить следующие действия:

2. Перейти в раздел External systems и нажать Accept (для дальнейшего удобства вы можете изменить содержимое поля Name, например, на KUMA). Также следует проверить, что значение в поле ID совпадает со значением поля Внешний ID в настройках транспорта коллектора KUMA.

Полезные ссылки

Подробные сведения о получении событий от Kaspersky Endpoint Detection and Response: https://support.kaspersky.com/KATA/5.1/ru-RU/248949.htm

Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr: https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm

KICS 3.1 и ниже

Данная инструкция предназначена строго для версии KICS for Networks 3.1 или ниже. Инструкция для версии 4.0 и выше находится в соответствующем разделе базы знаний.

Настройка KICS for Networks

Для настройки пересылки событий из KICS4Net в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль KICS for Networks из-под учетной записи Администратора

2. Перейти в раздел Параметры – Коннекторы и настроить параметры отправки событий в KUMA SIEM:
Тип коннектора: SIEM;
Имя коннектора: произвольное название, например, KUMA;
Адрес сервера: IP-адрес MGMT интерфейса сервера KICS for Networks;
Адрес узла коннектора: IP-адрес узла, на котором Вы устанавливаете коннектор (Если используется коннектор, располагаемый на сервере KICS for Networks, то указывается IP адрес MGMT интерфейса сервера. Если пакет с коннектором будет установлен на другом узле, то необходимо указать IP адрес этого узла);
Пароль для доступа к сертификату коннектора: пароль для архива с сертификатом сервера KICS for Networks, который будет сформирован после применения настроек коннектора;
Адрес SIEM сервера: IP-адрес сервера коллектора KUMA;
Номер порта: порт коллектора KUMA;
Транспортный протокол: TCP или UDP.

3. По завершении заполнения необходимых полей нажать кнопку Сохранить.
После сохранения настроек в списке коннекторов появится созданный коннектор. Для KICS for Networks 3.1 и ниже автоматически загрузится файл свертки с сертификатом сервера KICS for Networks, который необходимо перенести на узел, где установлен коннектор. Вновь созданный коннектор перейдет в режим Ожидание регистрации до того момента, как вы создадите службу на узле, где установлен коннектор.

4. Для создании службы необходимо на узле, где установлен коннектор, перейти в раздел /opt/kaspersky/kics4net-connectors/sbin

cd /opt/kaspersky/kics4net-connectors/sbin

и запустить скрипт registrar.py

python3 registrar.py create

Далее потребуется указать имя коннектора, имя архива с файлом свертки и пароль к архиву файла свертки, подтвердить запуск службы после ее создания.

В результате в интерфейсе KICS for Networks созданный коннектор перейдет в состояние Зарегистрирован.

Настройка отправки событий

По умолчанию события безопасности KICS for Networks не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.

Для настройки отправки событий необходимо:
1. Перейти на вкладку Параметры – Типы событий
2. Выбрать один или несколько типов событий, которые необходимо передавать
3. Нажать на кнопку Выбрать коннекторы
4. Установить флаг напротив тех систем, в которые необходимо предавать выбранные события
5. Подтвердить выбор нажатием кнопки ОК

После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KICS for Networks.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KICS for Networks.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KICS4Net v3.х.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Хранилище. Для отправки обработанных событий в хранилище.
Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Настройка создания коннектора KICS for Networks (онлайн-справка KICS for Networks): https://support.kaspersky.com/help/KICSforNetworks/3.1/ru-RU/136497.htm

KICS 4.0 и выше

Данная инструкция предназначена строго для версии KICS for Networks 4.0 или ниже. Инструкция для версии 3.1 и ниже находится в соответствующем разделе базы знаний.

Настройка KICS for Networks

Для настройки пересылки событий из KICS for Networks в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль KICS for Networks из-под учетной записи Администратора

3. По завершении заполнения необходимых полей нажать кнопку Сохранить.
Начиная с версии 4.0 коннектор автоматически осуществит регистрацию в продукте.

В результате в интерфейсе KICS for Networks созданный коннектор перейдет в состояние Зарегистрирован.

Настройка отправки событий

После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора

Настройка KUMA

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KICS for Networks.

2. На шаге Парсинг событий выберите соответствующий нормализатор.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Хранилище. Для отправки обработанных событий в хранилище.
Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Настройка создания коннектора KICS for Networks (онлайн-справка KICS for Networks): https://support.kaspersky.com/help/KICSforNetworks/4.0/ru-RU/136497.htm

!	#	$	%	&	'	(	)	*	+
%21	%23	%24	%25	%26	%27	%28	%29	%2A	%2B
,	/	:	;	=	?	@	[	]	\
%2C	%2F	%3A	%3B	%3D	%3F	%40	%5B	%5D	%5C

!	#	$	%	&	'	(	)	*	+
%21	%23	%24	%25	%26	%27	%28	%29	%2A	%2B
,	/	:	;	=	?	@	[	]	\
%2C	%2F	%3A	%3B	%3D	%3F	%40	%5B	%5D	%5C

!	#	$	%	&	'	(	)	*	+
%21	%23	%24	%25	%26	%27	%28	%29	%2A	%2B
,	/	:	;	=	?	@	[	]	\
%2C	%2F	%3A	%3B	%3D	%3F	%40	%5B	%5D	%5C

!	#	$	%	&	'	(	)	*	+
%21	%23	%24	%25	%26	%27	%28	%29	%2A	%2B
,	/	:	;	=	?	@	[	]	\
%2C	%2F	%3A	%3B	%3D	%3F	%40	%5B	%5D	%5C

!	#	$	%	&	'	(	)	*	+
%21	%23	%24	%25	%26	%27	%28	%29	%2A	%2B
,	/	:	;	=	?	@	[	]	\
%2C	%2F	%3A	%3B	%3D	%3F	%40	%5B	%5D	%5C

!	#	$	%	&	'	(	)	*	+
%21	%23	%24	%25	%26	%27	%28	%29	%2A	%2B
,	/	:	;	=	?	@	[	]	\
%2C	%2F	%3A	%3B	%3D	%3F	%40	%5B	%5D	%5C