Kaspersky

Подключение источников производителя Kaspersky

KSC CEF

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/241235.htm

Функция экспорта событий Kaspersky Security Center в SIEM-системы в формате CEF доступна при наличии лицензии Kaspersky Endpoint Security для бизнеса Расширенный или выше.

Настройка передачи событий KSC в формате CEF

Чтобы настроить передачу событий от Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA:

1. В дереве консоли Kaspersky Security Center выберите узел Сервер администрирования.

2. В рабочей области узла выберите вкладку События.

3. Перейдите по ссылке Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите Настроить экспорт в SIEM-систему.

Откроется окно Свойства: События.

image.png

4. Установите флажок Автоматически экспортировать события в базу SIEM-системы.

5. В раскрывающемся списке SIEM-система выберите ArcSight (CEF-формат).image.png

6. Укажите адрес сервера SIEM-системы KUMA и порт для подключения к серверу в соответствующих полях.

По кнопке Экспортировать архив Kaspersky Security Center экспортирует уже созданные события в базу SIEM-системы KUMA с указанной даты. По умолчанию Kaspersky Security Center экспортирует события с текущей даты.

7. Нажмите на кнопку ОК.


Настройка коллектора KUMA

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коллекторы.

2. В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC и откройте его для редактирования.

Что делать, если ресурс не доступен для редактирования

Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.

Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

3. На шаге Транспорт в поле URL укажите порт, по которому коллектор будет получать события Kaspersky Security Center.

4. Порт должен совпадать с портом сервера SIEM-системы KUMA, указанным в настройках на стороне KSC.

5. На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.

KSC MS SQL

✔️ Рекомендуется - Рекомендуемый способ сбора для этого источника событий

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/245386.htm

SQL Server должен поддерживать TLS 1.2 - дополнительную информацию можно изучить тут: https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server

Настройка БД MS SQL

Для сбора событий из БД MS SQL необходимо создать учетную запись с соответствующеми правами. Для этого выполните следующие действия:

1. Перейдите на сервер, где установлена БД MS SQL для KSC. С помощью Microsoft SQL Server Management Studio подключитесь к БД из-под учетной записи, обладающей правами администратора в БД.

image.png

2. Перейдите в соответствующий экземпляр БД MS SQL на вкладку Security и для вкладки Logins выберите New Login...

image.png

3. Добавьте учетную запись пользователя, с помощью которой будет осуществляться доступ к БД KSC


image.png

4. Установите для учетной записи БД KSC в качестве БД по умолчанию (по умолчанию в KSC используется БД KAV).
image.png

5. Настройте учетной записи права db_datareader и public для БД KSC в соответствии с изображением ниже.

image.png

6. Убедитесь, что созданной учетной записи разрешено подключение к БД.
image.png

Для проверки прав созданной учетной записи можно запустить Microsoft SQL Management Studio от имени созданного пользователя (с зажатым Shift нажать ПКМ и выбрать Запуск от имени другого пользователя). Затем перейти в любую таблицу БД KSC и сделать выборку по этой таблице.


Настройка SQL Server Browser

Для подключения к серверу MS SQL для сбора событий необходимо настроить соответствующую службу и разрешить входящие подключения. Для этого выполните следующие действия:

1. Откройте оснастку SQL Server Configuration Manager. Запустите службу SQL Server Browser и задайте автоматический запуск службы.

image.png

image.png

2. Включите TCP/IP протокол для соответствующего экземпляра БД.
image.png

3. В свойствах протокола, на вкладке IP Addresses для поля IPALL в TCP Port укажите значение 1433.
image.png

4. Перезапустите службу экземпляра SQL сервера.
image.png

5. Разрешите на сервере входящие подключения по порту 1433. Это можно сделать в оснастке Брандмауэр защитника Windows в режиме повышенной безопасности.
image.png


Создание секрета KUMA

Для подключения к БД MS SQL со стороны KUMA необходимо создать строку подключения. Для этого выполните следующие действия:

1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты и нажмите на кнопку Добавить секрет.

2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.

3. Задайте секрету тип urls и в поле URL укажите строку вида (в квадратных скобках опциональный параметр, квадратные скобки прописывать не надо):
sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/<наименование БД>

По умолчанию наименование БД импользуется KAV:

image.png

Примеры

sqlserver://test.local%5Cuser:password123!@10.0.0.1:1433/KAV
sqlserver://user:password123!@server.demo.lab:1433/KAV

%5C – используется для разделения домена и пользователя и представляет собой знак \ в URL-формате.
Если в пароле пользователя используются спецсимволы их также необходимо перевести в URL формат в соответствии с таблицей ниже.

! # $ % & ' ( ) * +
%21 %23 %24 %25 %26 %27 %28 %29 %2A %2B
, / : ; = ? @ [ ] \
%2C %2F %3A %3B %3D %3F %40 %5B %5D %5C

Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/ пример: image.png

Если в пароле присутствуют другие спецсиволы, которые отсутствуют в таблице выше, либо прото для удобства, то с версии KUMA 3.2 можно использовать опцию - Секрет отдельно для указания логина и пароля.

image.png

4. Сохраните созданный секрет.

Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.


Настройка коннектора

1. Для подключения к БД MS SQL необходимо настроить коннетор. Для этого выполните следующие действия

2. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коннекторы.

3. В списке коннекторов справа найдите коннектор [OOTB] KSC SQL и откройте его для редактирования.

Что делать, если ресурс не доступен для редактирования

Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.

Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

4. На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный для подключения к БД MS SQL.

5. Нажмите Сохранить.


Настройка коллектора

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коллекторы.

2. В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC from SQL и откройте его для редактирования.

Что делать, если ресурс не доступен для редактирования

Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.

Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

3. На шаге Транспорт выберите коннектор [OOTB] KSC SQL

4. На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC from SQL.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.


Альтернативный вариант создания коллектора

В случае, если предполагается использование коробочных ресурсов без изменений:

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Секреты

2. Откройте на редактирование секрет [OOTB] KSC MSSQL connection

3. Задайте в секрете строку подключения в соответствии с разделом "Создание секрета KUMA"

4. Сохраните созданный секрет с помощью кнопки "Сохранить"

5. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коллекторы.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.

KSC PostgreSQL

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка PostgreSQL

Настройки на сервере БД PostgreSQL можно выполнять в консоли (SSH, терминал ОС) или средствами утилиты pgAdmin (требуется установка).

В данной статье сервер БД PostgreSQL работает под управлением ОС Astra Linux, а все настройки выполняются в консоли.

Для удобства в базе данных PostgreSQL Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA [OOTB] KSC PostgreSQL содержит уже готовые запросы к публичным представлениям v_akpub_ev_event и v_akpub_host.

Коннектор [OOTB] KSC PostgreSQL позволяет экспортировать события из БД PostgreSQL Kaspersky Security Center (KSC) версии 15.0. 

Проверена работоспособность коннектора с KSC 14.2 Windows (БД PostgreSQL).

Проверка имени БД KSC

Чтобы проверить имя базы данных  KSC можно воспользоваться следующей статьей:

https://support.kaspersky.ru/ksc-linux/15/228689 (KSC Linux)

Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:

sudo -i -u postgres
psql

\l # вывод списка баз данных сервера

image.png

Создание роли БД и предоставление прав

sudo -i -u postgres
psql

Также для создания роли БД и предоставления ей соответствующих прав можно использовать существующую учетную запись с атрибутом role creation и правами доступа к публичным представлениям.

Пример подключения к БД: 
psql -U <имя УЗ> -d <имя БД KSC>

CREATE USER kuma WITH PASSWORD '<задайте пароль>';
\connect KAV
GRANT SELECT ON v_akpub_ev_event TO kuma;
GRANT SELECT ON v_akpub_host TO kuma;
GRANT SELECT ON v_akpub_virus_activity TO kuma;
GRANT SELECT ON v_akpub_hst_prdstate TO kuma;
GRANT SELECT ON v_akpub_host_status TO kuma;

Настройка удаленного доступа к БД PostgreSQL и метода аутентификации

host   <имя БД,например, KAV>   kuma   <IP-адрес коллектора KUMA>/32   scram-sha-256

image.png

image.png

systemctl restart postgresql

При необходимости разрешите входящие соединения на порт БД PostgreSQL (по умолчанию, TCP/5432) в параметрах локального FW.


Создание секрета KUMA

1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты

2. Выберите секрет [OOTB] KSC PostgreSQL connection и нажмите Дублировать.

image.png

3. В появившемся окне задайте:

image.png

Если в пароле используются спецсимволы необходимо перевести данные спецсимволы в URL формат в соответствии с таблицей ниже.

Примеры


postgres://kuma:p%40ssword123%21@server.demo.lab/KAV

! # $ % & ' ( ) * +
%21 %23 %24 %25 %26 %27 %28 %29 %2A %2B
, / : ; = ? @ [ ] \
%2C %2F %3A %3B %3D %3F %40 %5B %5D %5C

Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/

Пример:

 image.png

По умолчанию коллектор KUMA при обращении к БД PostgreSQL будет пытаться построить TLS-туннель. Если на стороне сервера БД не настроено использование SSL/TLS (что НЕ рекомендуется!) в URL секрета необходимо добавить "?sslmode=disable", чтобы строка приняла следующий вид: 
postgres://user:password@server/database?sslmode=disable

4. Нажмите Сохранить.

Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.


Настройка коннектора

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коннекторы

2. В списке коннекторов справа найдите коннектор [OOTB] KSC PostgreSQL и нажмите Дублировать

image.png

3. В появившемся окне задайте:

image.png

image.png

4. Нажмите Сохранить.


Настройка коллектора

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы и нажмите Подключить источник

2. В появившемся окне задайте Название коллектора и Тенант

3. На шаге Транспорт выберите ранее созданный коннектор

4. На шаге Парсинг событий выберите нормализатор [OOTB] KSC from SQL.

5. На шаге Маршрутизация задайте следующие точки назначения:

6. На шаге Проверка параметров нажмите Сохранить и создать сервис.

7. Скопируйте появившуюся команду и выполните установку сервиса коллектора.


Проверка поступления событий KSC в KUMA

Для проверки, что экспорт событий из БД KSC успешно настроен, перейдите в Ресурсы -> Активные сервисы -> выберите ранее созданный коллектор KSC PostgreSQL и нажмите Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события KSC.

image.png

KSC MariaDB

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка MariaDB

В MariaDB настройки на сервере базы данных можно выполнять несколькими способами: через консоль (SSH, терминал ОС) или с помощью графических интерфейсов, таких как phpMyAdmin или MySQL Workbench

В данной статье сервер БД MariaDB работает под управлением ОС Ubuntu 22.04.5, а все настройки выполняются в консоли.

Для удобства в базе данных MariaDB Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA [OOTB] KSC MySQL содержит уже готовые запросы к публичным представлениям v_akpub_ev_event и v_akpub_host.

Для обеспечения корректной работы MariaDB с Kaspersky Security Center рекомендуется использовать версии MariaDB начиная с 10.5.17 или более новые.

Проверка имени БД KSC

Чтобы проверить имя базы данных KSC можно воспользоваться следующей статьей:

Просмор имени базы данных Kaspersky Security Center Linux - (KSC Linux) - https://support.kaspersky.ru/ksc-linux/15.1/228689

Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:

Создание роли БД и предоставление прав

При необходимости разрешите входящие соединения на порт БД MariaDB (по умолчанию, TCP/3306) в параметрах локального FW, а также в настройках конфигурационного файла my.cnf


Создание секрета KUMA

1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты → Добавить

2. Создайте секрет MariaDB, В появившемсе окне задайте  

mysql://<имя пользователя БД>:<Пароль>@<протокол подключения>(<IP-адрес или FQDN сервера БД>:<порт>)/<имя Базы данных>

Например: mysql://kuma_siem:password@tcp(10.10.10.10:3306)/KAV

Если в пароле используются спецсимволы необходимо перевести данные спецсимволы в URL формат в соответствии с таблицей ниже.

Примеры

mysql://kuma:p%40ssword123%2@tcp(ip:port)/KAV

! # $ % & ' ( ) * +
%21 %23 %24 %25 %26 %27 %28 %29 %2A %2B
, / : ; = ? @ [ ] \
%2C %2F %3A %3B %3D %3F %40 %5B %5D %5C

Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/

3. Нажмите Сохранить

Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.


Настройка коннектора

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы

2. В списке коннекторов найдите коннектор [OOTB] KSC MySQL, отметьте его галочкой и нажмите Дублировать

3. В появившемся окне задайте:   

Обратите внимание, что в коннекторе используется несколько запросов! URL подключения необходимо заменить для ВСЕХ запросов.

4. В запросе смените название БД (ksc_srv) на имя БД KSC, в нашем случае KAV (по умолчанию)

image.png

image.png

Обратите внимание, что в коннекторе используется несколько запросов! Название БД необходимо заменить для ВСЕХ запросов.


Настройка коллектора

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы и нажмите Подключить источник

2. В появившемся окне задайте Название коллектора и Тенант

3. На шаге Транспорт выберите ранее созданный коннектор

4. На шаге Парсинг событий выберите сдублированный нормализатор [OOTB] KSC from SQL.

5. На шаге Маршрутизация задайте следующие точки назначения:

6. На шаге Проверка параметров нажмите Сохранить и создать сервис.

7. Скопируйте появившуюся команду и выполните установку сервиса коллектора.


Проверка поступления событий  KSC в KUMA 

Для проверки, что экспорт событий из БД KSC успешно настроен, перейдите в Ресурсы -> Активные сервисы -> выберите ранее созданный коллектор KSC PostgreSQL и нажмите Перейти к событиям

В открывшемся окне События убедитесь, что присутствуют события KSC.

image.png


Полезные ссылки 

Настройка сервера MariaDB x64 для работы с Kaspersky Security Center Linux - https://support.kaspersky.ru/ksc-linux/15/210277

Коннекторы типа sql в kuma - https://support.kaspersky.ru/kuma/3.2/220746

KLMS

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm

Настройка передачи событий KLMS в KUMA

Чтобы настроить передачу событий KLMS в KUMA:

1. Подключитесь к серверу KLMS по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.

2. С помощью утилиты klms-control выгрузите настройки в файл settings.xml:

sudo /opt/kaspersky/klms/bin/klms-control --get-settings EventLogger -n -f /tmp/settings.xml

3. Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:

<siemSettings>
<enabled>1</enabled>
<facility>Local1</facility>

4. Примените настройки с помощью следующей команды:

sudo /opt/kaspersky/klms/bin/klms-control --set-settings EventLogger -n -f /tmp/settings.xml

5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf.

$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>

6. Сохраните внесённые изменения.

7. Перезапустите сервис rsyslog с помощью следующей команды:

sudo systemctl restart rsyslog.service

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KLMS.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KLMS.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KLMS syslog CEF.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Настройка получения событий KLMS (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm 

KSMG 1.1

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254785.htm

Настройка передачи событий KSMG в KUMA

Данная инструкция применима для KSMG версии 1.1

Чтобы настроить передачу событий KSMG в KUMA:

1. Подключитесь к серверу KSMG по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.

2. С помощью утилиты ksmg-control выгрузите настройки в файл settings.xml:

sudo /opt/kaspersky/ksmg/bin/ksmg-control --get-settings EventLogger -n -f /tmp/settings.xml

3. Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:

<siemSettings>
<enabled>1</enabled>
<facility>Local1</facility>

4. Примените настройки с помощью следующей команды:

sudo /opt/kaspersky/ksmg/bin/ksmg-control --set-settings EventLogger -n -f /tmp/settings.xml

5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf.

$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>

6. Сохраните внесённые изменения.

7. Перезапустите сервис rsyslog с помощью следующей команды:

sudo systemctl restart rsyslog.service

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KSMG.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KSMG.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KSMG.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Настройка получения событий KSMG (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254785.htm

Публикация событий в SIEM-систему (онлайн-справка KSMG): https://support.kaspersky.com/help/KSMG/1.1.3/ru-RU/151504.htm 

KSMG 2.0

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка отправкм логов для актуальной версии KSMG 2.1.1VA доступно из справки - https://support.kaspersky.com/KSMG/2.1.1VA/ru-RU/218660.htm 

Настройка передачи событий KSMG в KUMA

Данная инструкция применима для KSMG версии 2.0

Чтобы настроить передачу событий KSMG в KUMA:

1. Подключитесь к серверу KSMG по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.

2. Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:

"siemSettings":
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
"formatting":
{

Прочие параметры оставьте без изменений.

Перед внесением изменений в файл /etc/rsyslog.conf рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.

3. В файле /etc/rsyslog.conf измените строку:

*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

на

*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;local2.none /var/log/messages

4. Добавьте в файл /etc/rsyslog.conf следующую строку:

local2.* -/var/log/ksmg-cef-messages

5. Создайте файл /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:

touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages

6. Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл /etc/logrotate.d/ksmg-syslog следующие строки:

/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}

7. Перезапустите сервис rsyslog с помощью следующей команды:

service rsyslog restart

Если вам не требуется сохранять файлы локально, пропустите шаги 4–7 из инструкции выше

8. В веб-интерфейсе приложения в разделе Параметры → Журналы и события → События внесите изменение в значение любого параметра и нажмите на кнопку Сохранить.

Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.

9. Внесите следующие изменения в файл /etc/rsyslog.conf:

$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @<IP-адрес коллектора KUMA>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local2.* @@<IP-адрес коллектора KUMA>:<порт коллектора>

10. Перезапустите службу rsyslog. Для этого выполните команду:

service rsyslog restart

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KSMG.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KSMG.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KSMG.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

В случае если события не поступают перезапустите сервис rsyslog несколько раз


Полезные ссылки

Публикация событий в SIEM-систему (онлайн-справка KSMG): https://support.kaspersky.com/KSMG/2.0.1/ru-RU/151504.htm 

KWTS 6.0

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254373.htm

Настройка передачи событий KWTS в KUMA

Данная инструкция применима для KWTS версии 6.0

Чтобы настроить передачу событий KWTS в KUMA:

1. Подключитесь к серверу KWTS по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.

Перед внесением изменений создайте резервные копии следующих файлов:
- /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template
- /etc/rsyslog.conf

2. Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template:

"siemSettings":
{
"enabled": true,
"facility": "Local5",
"logLevel": "Info",
"formatting":
{

Прочие параметры оставьте без изменений.

3. Внести изменения в файл /etc/rsyslog.conf :

$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.* @<IP-адрес коллектора KUMA>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local5.* @@<IP-адрес коллектора KUMA>:<порт коллектора>

4. Перезапустите сервис rsyslog с помощью следующей команды:

sudo systemctl restart rsyslog.service

5. В веб-интерфейсе приложения в разделе Параметры → Syslog включите опцию Записывать информацию о профиле трафика и нажмите на кнопку Сохранить.

Дополнительный вариант логирования

Так как в CEF могут логироваться не все события, в некоторых случаях целесообразно будет также оправлять в KUMA лог из /var/log/kwts-messages. В этом логе, например, содержится GUID, который позволяет связать события в КАТА и KWTS при отправке файлов на проверку в KATA.

Для отправки на KUMA этих событий необходимо в файле /etc/rsyslog.conf добавить отправку событий с facility local1 в KUMA. Однако коллектор для этих целей потребуется другой, т.к. логи в данном случае будут не в формате CEF, а в kv. Также это потребует и разработки кастомного парсера.

Чтобы настроить отправку local1 в KUMA нужно в конец файла дописать следующее для отправки по UDP:

local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>

После перезапустите сервис rsyslog с помощью следующей команды:

sudo systemctl restart rsyslog.service

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KWTS.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KWTS.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KWTS syslog CEF.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Настройка получения событий KWTS (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254373.htm 

KATA

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/240690.htm 

Настройка KATA

Для настройки пересылки событий из KATA в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль центрального узла Kaspersky Anti Targeted Attack из-под учетной записи Администратора, предварительно отметив параметр Local administrator


image.png

2. Перейти в раздел Settings SIEM System и настроить параметры отправки событий в KUMA SIEM:
Host/IP: ip или fqdn адрес коллектора KUMA
Port: порт коллектора KUMA
Protocol: TCP или UDP
Host ID: напр., kata-cn
Heartbeat: интервал в минутах

image.png


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Kaspersky Anti Targeted Attack Platform.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KATA.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KATA.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Настройка получения событий KATA/EDR (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/240690.htm 

KATA/NDR 7.0

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Данная инструкция предназначена строго для версии KATA/NDR 7.0. Инструкция для предыдущих версии находится в соответствующем разделе базы знаний.

Данная способ позволяет собирать события NDR. Для сбора событий KATA воспользуйтесь соответствующей инструкцией.

Настройка KATA/NDR

Для настройки пересылки событий из KATA/NDR в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль KATA/NDR из-под учетной записи Администратора

2. Перейти в раздел Параметры Коннекторы и нажать на кнопку Добавить коннектор

image.png

3. В открывшемся окне настроить параметры отправки событий в KUMA SIEM:

Тип коннектора
: SIEM;
Имя коннектора: произвольное название, например, KUMA Syslog;
Адрес сервера: 127.0.0.1;
Узел размещения коннектора: выбрать нужный из выпадающего списка;
Пользователь программы: выбрать нужного из выпадающего списка;
Адрес SIEM сервера: IP-адрес сервера коллектора KUMA;
Номер порта: порт коллектора KUMA;
Транспортный протокол: TCP или UDP.
Разрешить отправку записей аудита: вкл, если требуется передача событий аудита
Разрешить отправку сообщений программы: вкл, если требуется передача сообщений программы

image.png

3. По завершении заполнения необходимых полей нажать кнопку Сохранить.

В результате в интерфейсе KATA/NDR созданный коннектор перейдет в состояние Работает.

image.png


Настройка отправки событий

По умолчанию события безопасности KATA/NDR не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.

Для настройки отправки событий необходимо:

1.    Войти в интерфейс KATA/NDR от имени пользователя Старший офицер безопасности
2.    Перейти на вкладку ПараметрыТипы событий
3.    Выбрать один или несколько типов событий, которые необходимо передавать
4.    Нажать на кнопку Выбрать коннекторы
5.    Установить флаг напротив тех систем, в которые необходимо предавать выбранные события
6.    Подтвердить выбор нажатием кнопки ОК

image.png

После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора

image.png


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KATA/NDR.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KATA/NDR. Также обязательно задайте в качестве разделителя \0.

2. На шаге Парсинг событий выберите соответствующий нормализатор

Какой нормализатор можно использовать

Сделайте копию коробочного нормализатора [OOTB] KICS4Net v3.х

В копии нормализатора, в главном парсере, на вкладке Обогащение измените значение константы для поля DeviceProduct на NDR

image.png

 Сохраните нормализатор и используйте его в коллекторе KATA/NDR

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


KEDR 4.0-4.1

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm 

Настройка KEDR

Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.1, выполните следующие действия на стороне Kaspersky Endpoint Detection and Response:

1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.

2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.
Отобразится меню администратора компонента программы.

3. В меню администратора компонента программы выберите режим Technical Support Mode.

4. Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.

6. Выполните команду 

sudo -i

7. В конфигурационном файле /etc/sysconfig/apt-services в поле KAFKA_PORTS удалите значение 10000.

Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000.

Настоятельно не рекомендуется использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду:

iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP

8. Выполните команду 

systemctl restart apt_ipsec.service

9. В конфигурационном файле /usr/bin/apt-start-sedr-iptables в поле WEB_PORTS добавьте значение 10000 через запятую без пробела.

10. Выполните команду 

sudo sh /usr/bin/apt-start-sedr-iptables

Настройка KUMA

1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> centralnode в один из следующих файлов:

%WINDIR%\System32\drivers\etc\hosts – в случае сбора телеметрии KEDR агентом KUMA для Windows.

Как отредактировать файл hosts в Windows

1. Запустите cmd.exe от имени администратора

2. Выполните команду 

notepad.exe %WINDIR%\System32\drivers\etc\hosts

3. Внести изменения в файл и сохраните (Ctrl + S)


/etc/hosts file – в случае сбора телеметрии KEDR коллектором или агентом KUMA для Linux.

2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.
При создании коннектора укажите следующие параметры:

- В поле URL укажите <IP-адрес сервера Central Node>:10000
- В поле Topic укажите EndpointEnrichedEventsTopic.
- В поле Consumer group укажите любое уникальное имя.

3. В веб-интерфейсе KUMA создайте коллектор.

4. На шаге Транспорт укажите коннектор, созданный на шаге 2.

5. На шаге Парсинг событий выберите нормализатор [OOTB] KEDR telemetry.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Настройка получения событий KATA/EDR (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm 

KEDR 5.0-6.0

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm 

Настройка KEDR

При импорте событий из Kaspersky Endpoint Detection and Response 5.0 действует ряд ограничений:
- Импорт событий доступен только для неотказоустойчивой версии Kaspersky Endpoint Detection and Response.
- Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
- Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.

Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 5.0, выполните следующие действия на стороне Kaspersky Endpoint Detection and Response:

1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.

2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.
Отобразится меню администратора компонента программы.

3. В меню администратора компонента программы выберите режим Technical Support Mode.

4. Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.

6. Выполните команду 

sudo -i

7. В конфигурационном файле /usr/local/lib/python3.8/dist-packages/firewall/create_iptables_rules.py укажите дополнительный порт 10000 для константы WEB_PORTS:

WEB_PORTS = f'10000,80,{AppPort.APT_AGENT_PORT},{AppPort.APT_GUI_PORT}'

Для KATA 6.0 файл находится по пути /opt/venv/lib/python3.11/site-packages/firewall/create_iptables_rules.py и строку надо отредактировать в таком виде:

WEB_PORTS = '10000,80,' + ','.join(

8. Выполните команды:

Кластерная подсеть по умолчанию: 198.18.0.0/16

kata-firewall stop
kata-firewall start --cluster-subnet <маска сети для адресации серверов кластера>

Настройка KUMA

1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> kafka.services.external.dyn.kata в один из следующих файлов:

%WINDIR%\System32\drivers\etc\hosts – в случае сбора телеметрии KEDR агентом KUMA для Windows.

Как отредактировать файл hosts в Windows

1. Запустите cmd.exe от имени администратора

2. Выполните команду 

notepad.exe %WINDIR%\System32\drivers\etc\hosts

3. Внести изменения в файл и сохраните (Ctrl + S)


/etc/hosts file – в случае сбора телеметрии KEDR коллектором или агентом KUMA для Linux.

2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.
При создании коннектора укажите следующие параметры:

- В поле URL укажите <IP-адрес сервера Central Node>:10000
- В поле Topic укажите EndpointEnrichedEventsTopic.
- В поле Consumer group укажите любое уникальное имя.

3. В веб-интерфейсе KUMA создайте коллектор.

4. На шаге Транспорт укажите коннектор, созданный на шаге 2.

5. На шаге Парсинг событий выберите нормализатор [OOTB] KEDR telemetry.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.


Случай с несколькими серверами KEDR

При наличии двух серверов EDR брокер на обоих узлах в метаданных передает одно и то же имя centralnode. Таким образом, выгрузка телеметрии через Кафку одновременно с двух разных узлов EDR становится невозможной, так как они просят клиента обращаться по одному и тому же некорректному адресу http://centralnode:10000.

Для решения проблемы:

1. на одной CN выгрузим параметры, с которым контейнер стартует:

console-settings-updater get /kata/configuration/product/kafka | python3 -m json.tool > /tmp/kafka.conf

2. Откроем в редакторе файл: vim kafka.conf и исправляем строку "external_address": "kafka.services.external.dyn.kata" на "external_address": "kafka2.services.external.dyn.kata"

3. Загружаем файл обратно в контейнер:

console-settings-updater set /kata/configuration/product/kafka @/tmp/kafka.conf


KEDR 5.1+ (Телеметрия EDR по API)

✔️ Рекомендуется - Рекомендуемый способ сбора для этого источника событий

Данная инструкция предназначена для версии KUMA с 3.0.2+, а также версий KATA 5.1+

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm

Создание секрета

Для подключения KEDR со стороны KUMA по API необходимо создать секрет для аутентификации. Для этого выполните следующие действия:
1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты и нажмите на кнопку Добавить.
2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.
3. Нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения, после чего произойдет скачивание архива.
4. Распакуйте архив. Внутри будут файл сертификата и файл закрытого ключа.
5. Укажите Файл сертификата и Закрытый ключ в соответствии с рисунком:

image.png

6. Сохраните секрет


Настройка коллектора

После того как был создан секрет, требуется создать коллектор в веб-интерфейсе KUMA для событий KEDR.
1. На шаге Транспорт укажите тип kata/kedr и URL в формате <IP-адрес или FQDN CN KATA>:<порт, по умолчанию 443>), в поле Секрет укажите ранее созданный секрет.

image.png

2. На шаге Парсинг событий выберите нормализатор [OOTB] KEDR telemetry.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.

В Дополнительных параметрах транспорта параметр Время ожидания получения событий означает время, за которое KATA собирает события для отправки.


Настройка KATA

Для настройки сбора событий телеметрии из KATA в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль центрального узла Kaspersky Anti Targeted Attack из-под учетной записи Администратора, предварительно отметив параметр Local administrator


image.png

2. Перейти в раздел External systems и нажать Accept (для дальнейшего удобства вы можете изменить содержимое поля Name, например, на KUMA). Также следует проверить, что значение в поле ID совпадает со значением поля Внешний ID в настройках транспорта коллектора KUMA.

image.png


Полезные ссылки

Подробные сведения о получении событий от Kaspersky Endpoint Detection and Response: https://support.kaspersky.com/KATA/5.1/ru-RU/248949.htm

Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr: https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm

KICS 3.1 и ниже

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Данная инструкция предназначена строго для версии KICS for Networks 3.1 или ниже. Инструкция для версии 4.0 и выше находится в соответствующем разделе базы знаний.

Настройка KICS for Networks

Для настройки пересылки событий из KICS4Net в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль KICS for Networks из-под учетной записи Администратора

2. Перейти в раздел Параметры Коннекторы и настроить параметры отправки событий в KUMA SIEM:
Тип коннектора: SIEM;
Имя коннектора: произвольное название, например, KUMA;
Адрес сервера: IP-адрес MGMT интерфейса сервера KICS for Networks;
Адрес узла коннектора: IP-адрес узла, на котором Вы устанавливаете коннектор (Если используется коннектор, располагаемый на сервере KICS for Networks, то указывается IP адрес MGMT интерфейса сервера. Если пакет с коннектором будет установлен на другом узле, то необходимо указать IP адрес этого узла);
Пароль для доступа к сертификату коннектора: пароль для архива с сертификатом сервера KICS for Networks, который будет сформирован после применения настроек коннектора;
Адрес SIEM сервера: IP-адрес сервера коллектора KUMA;
Номер порта: порт коллектора KUMA;
Транспортный протокол: TCP или UDP.

kics1.png

3. По завершении заполнения необходимых полей нажать кнопку Сохранить.
После сохранения настроек в списке коннекторов появится созданный коннектор. Для KICS for Networks 3.1 и ниже автоматически загрузится файл свертки с сертификатом сервера KICS for Networks, который необходимо перенести на узел, где установлен коннектор. Вновь созданный коннектор перейдет в режим Ожидание регистрации до того момента, как вы создадите службу на узле, где установлен коннектор.

kics2.png

4. Для создании службы необходимо на узле, где установлен коннектор, перейти в раздел /opt/kaspersky/kics4net-connectors/sbin

cd /opt/kaspersky/kics4net-connectors/sbin

и запустить скрипт registrar.py

python3 registrar.py create

Далее потребуется указать имя коннектора, имя архива с файлом свертки и пароль к архиву файла свертки, подтвердить запуск службы после ее создания.

kics3.png

В результате в интерфейсе KICS for Networks созданный коннектор перейдет в состояние Зарегистрирован.

kics4.png


Настройка отправки событий

По умолчанию события безопасности KICS for Networks не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.

Для настройки отправки событий необходимо:
1.    Перейти на вкладку ПараметрыТипы событий
2.    Выбрать один или несколько типов событий, которые необходимо передавать
3.    Нажать на кнопку Выбрать коннекторы
4.    Установить флаг напротив тех систем, в которые необходимо предавать выбранные события
5.    Подтвердить выбор нажатием кнопки ОК

kics5.png

После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора

kics6.png


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KICS for Networks.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KICS for Networks.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KICS4Net v3.х.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Настройка создания коннектора KICS for Networks (онлайн-справка KICS for Networks): https://support.kaspersky.com/help/KICSforNetworks/3.1/ru-RU/136497.htm 

KICS 4.0 и выше

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Данная инструкция предназначена строго для версии KICS for Networks 4.0 или ниже. Инструкция для версии 3.1 и ниже находится в соответствующем разделе базы знаний.

Настройка KICS for Networks

Для настройки пересылки событий из KICS for Networks в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль KICS for Networks из-под учетной записи Администратора

2. Перейти в раздел Параметры Коннекторы и настроить параметры отправки событий в KUMA SIEM:
Тип коннектора: SIEM;
Имя коннектора: произвольное название, например, KUMA;
Адрес сервера: IP-адрес MGMT интерфейса сервера KICS for Networks;
Адрес узла коннектора: IP-адрес узла, на котором Вы устанавливаете коннектор (Если используется коннектор, располагаемый на сервере KICS for Networks, то указывается IP адрес MGMT интерфейса сервера. Если пакет с коннектором будет установлен на другом узле, то необходимо указать IP адрес этого узла);
Пароль для доступа к сертификату коннектора: пароль для архива с сертификатом сервера KICS for Networks, который будет сформирован после применения настроек коннектора;
Адрес SIEM сервера: IP-адрес сервера коллектора KUMA;
Номер порта: порт коллектора KUMA;
Транспортный протокол: TCP или UDP.

kics1.png

3. По завершении заполнения необходимых полей нажать кнопку Сохранить.
Начиная с версии 4.0 коннектор автоматически осуществит регистрацию в продукте. 

В результате в интерфейсе KICS for Networks созданный коннектор перейдет в состояние Зарегистрирован.

kics4.png


Настройка отправки событий

По умолчанию события безопасности KICS for Networks не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.

Для настройки отправки событий необходимо:
1.    Перейти на вкладку ПараметрыТипы событий
2.    Выбрать один или несколько типов событий, которые необходимо передавать
3.    Нажать на кнопку Выбрать коннекторы
4.    Установить флаг напротив тех систем, в которые необходимо предавать выбранные события
5.    Подтвердить выбор нажатием кнопки ОК

kics5.png

После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора

kics6.png


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KICS for Networks.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KICS for Networks.

2. На шаге Парсинг событий выберите соответствующий нормализатор.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Настройка создания коннектора KICS for Networks (онлайн-справка KICS for Networks): https://support.kaspersky.com/help/KICSforNetworks/4.0/ru-RU/136497.htm