Kaspersky
Подключение источников производителя Kaspersky
- KSC CEF
- KSC MS SQL
- KSC PostgreSQL
- KSC MariaDB
- KLMS
- KSMG 1.1
- KSMG 2.0
- KWTS 6.0
- KATA
- KATA/NDR 7.0
- KEDR 4.0-4.1
- KEDR 5.0-6.0
- KEDR 5.1+ (Телеметрия EDR по API)
- KICS 3.1 и ниже
- KICS 4.0 и выше
KSC CEF
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/241235.htm
Функция экспорта событий Kaspersky Security Center в SIEM-системы в формате CEF доступна при наличии лицензии Kaspersky Endpoint Security для бизнеса Расширенный или выше.
Настройка передачи событий KSC в формате CEF
Чтобы настроить передачу событий от Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA:
1. В дереве консоли Kaspersky Security Center выберите узел Сервер администрирования.
2. В рабочей области узла выберите вкладку События.
3. Перейдите по ссылке Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите Настроить экспорт в SIEM-систему.
Откроется окно Свойства: События.
4. Установите флажок Автоматически экспортировать события в базу SIEM-системы.
5. В раскрывающемся списке SIEM-система выберите ArcSight (CEF-формат).
6. Укажите адрес сервера SIEM-системы KUMA и порт для подключения к серверу в соответствующих полях.
По кнопке Экспортировать архив Kaspersky Security Center экспортирует уже созданные события в базу SIEM-системы KUMA с указанной даты. По умолчанию Kaspersky Security Center экспортирует события с текущей даты.
7. Нажмите на кнопку ОК.
Настройка коллектора KUMA
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.
2. В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC и откройте его для редактирования.
Что делать, если ресурс не доступен для редактирования
Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.
Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
3. На шаге Транспорт в поле URL укажите порт, по которому коллектор будет получать события Kaspersky Security Center.
4. Порт должен совпадать с портом сервера SIEM-системы KUMA, указанным в настройках на стороне KSC.
5. На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC.
6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
7. На шаге Проверка параметров нажмите Сохранить и создать сервис.
8. Скопируйте появившуюся команду для установки коллектора KUMA.
KSC MS SQL
✔️ Рекомендуется - Рекомендуемый способ сбора для этого источника событий
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/245386.htm
SQL Server должен поддерживать TLS 1.2 - дополнительную информацию можно изучить тут: https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server
Для отключения защищенного подключения к БД можно воспользоваться следующей опцией в коннекторе: sqlserver://user:password@server:port?database=DBName&encrypt=disable
Настройка БД MS SQL
Для сбора событий из БД MS SQL необходимо создать учетную запись с соответствующеми правами. Для этого выполните следующие действия:
1. Перейдите на сервер, где установлена БД MS SQL для KSC. С помощью Microsoft SQL Server Management Studio подключитесь к БД из-под учетной записи, обладающей правами администратора в БД.
2. Перейдите в соответствующий экземпляр БД MS SQL на вкладку Security и для вкладки Logins выберите New Login...
3. Добавьте учетную запись пользователя, с помощью которой будет осуществляться доступ к БД KSC
4. Установите для учетной записи БД KSC в качестве БД по умолчанию (по умолчанию в KSC используется БД KAV).
5. Настройте учетной записи права db_datareader и public для БД KSC в соответствии с изображением ниже.
6. Убедитесь, что созданной учетной записи разрешено подключение к БД.
Для проверки прав созданной учетной записи можно запустить Microsoft SQL Management Studio от имени созданного пользователя (с зажатым Shift нажать ПКМ и выбрать Запуск от имени другого пользователя). Затем перейти в любую таблицу БД KSC и сделать выборку по этой таблице.
Настройка SQL Server Browser
Для подключения к серверу MS SQL для сбора событий необходимо настроить соответствующую службу и разрешить входящие подключения. Для этого выполните следующие действия:
1. Откройте оснастку SQL Server Configuration Manager. Запустите службу SQL Server Browser и задайте автоматический запуск службы.
2. Включите TCP/IP протокол для соответствующего экземпляра БД.
3. В свойствах протокола, на вкладке IP Addresses для поля IPALL в TCP Port укажите значение 1433.
4. Перезапустите службу экземпляра SQL сервера.
5. Разрешите на сервере входящие подключения по порту 1433. Это можно сделать в оснастке Брандмауэр защитника Windows в режиме повышенной безопасности.
Создание секрета KUMA
Для подключения к БД MS SQL со стороны KUMA необходимо создать строку подключения. Для этого выполните следующие действия:
1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты и нажмите на кнопку Добавить секрет.
2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.
3. Задайте секрету тип urls и в поле URL укажите строку вида (в квадратных скобках опциональный параметр, квадратные скобки прописывать не надо):
sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/<наименование БД>
По умолчанию наименование БД импользуется KAV:
Примеры
sqlserver://test.local%5Cuser:password123!@10.0.0.1:1433/KAV
sqlserver://user:password123!@server.demo.lab:1433/KAV
%5C
– используется для разделения домена и пользователя и представляет собой знак \
в URL-формате.
Если в пароле пользователя используются спецсимволы их также необходимо перевести в URL формат в соответствии с таблицей ниже.
! | # | $ | % | & | ' | ( | ) | * | + |
%21 | %23 | %24 | %25 | %26 | %27 | %28 | %29 | %2A | %2B |
, | / | : | ; | = | ? | @ | [ | ] | \ |
%2C | %2F | %3A | %3B | %3D | %3F | %40 | %5B | %5D | %5C |
Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/ пример:
Если в пароле присутствуют другие спецсиволы, которые отсутствуют в таблице выше, либо прото для удобства, то с версии KUMA 3.2 можно использовать опцию - Секрет отдельно для указания логина и пароля.
4. Сохраните созданный секрет.
Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.
Настройка коннектора
1. Для подключения к БД MS SQL необходимо настроить коннетор. Для этого выполните следующие действия
2. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
3. В списке коннекторов справа найдите коннектор [OOTB] KSC SQL и откройте его для редактирования.
Что делать, если ресурс не доступен для редактирования
Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.
Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
4. На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный для подключения к БД MS SQL.
5. Нажмите Сохранить.
Настройка коллектора
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.
2. В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC from SQL и откройте его для редактирования.
Что делать, если ресурс не доступен для редактирования
Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.
Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
3. На шаге Транспорт выберите коннектор [OOTB] KSC SQL
4. На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC from SQL.
6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
7. На шаге Проверка параметров нажмите Сохранить и создать сервис.
8. Скопируйте появившуюся команду для установки коллектора KUMA.
Альтернативный вариант создания коллектора
В случае, если предполагается использование коробочных ресурсов без изменений:
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Секреты
2. Откройте на редактирование секрет [OOTB] KSC MSSQL connection
3. Задайте в секрете строку подключения в соответствии с разделом "Создание секрета KUMA"
4. Сохраните созданный секрет с помощью кнопки "Сохранить"
5. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.
6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
7. На шаге Проверка параметров нажмите Сохранить и создать сервис.
8. Скопируйте появившуюся команду для установки коллектора KUMA.
KSC PostgreSQL
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка PostgreSQL
Настройки на сервере БД PostgreSQL можно выполнять в консоли (SSH, терминал ОС) или средствами утилиты pgAdmin (требуется установка).
В данной статье сервер БД PostgreSQL работает под управлением ОС Astra Linux, а все настройки выполняются в консоли.
Для удобства в базе данных PostgreSQL Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA [OOTB] KSC PostgreSQL содержит уже готовые запросы к публичным представлениям v_akpub_ev_event и v_akpub_host.
Коннектор [OOTB] KSC PostgreSQL позволяет экспортировать события из БД PostgreSQL Kaspersky Security Center (KSC) версии 15.0.
Проверена работоспособность коннектора с KSC 14.2 Windows (БД PostgreSQL).
Проверка имени БД KSC
Чтобы проверить имя базы данных KSC можно воспользоваться следующей статьей:
https://support.kaspersky.ru/ksc-linux/15/228689 (KSC Linux)
Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:
- Измените текущего пользователя на postgres
sudo -i -u postgres
- Запустите интерактивный терминал PostgreSQL и выведите список баз данных сервера
psql
\l # вывод списка баз данных сервера
Создание роли БД и предоставление прав
- В консоли сервера, где установлена БД PostreSQL KSC, измените текущего пользователя на postgres
sudo -i -u postgres
- Запустите интерактивный терминал PostgreSQL
psql
Также для создания роли БД и предоставления ей соответствующих прав можно использовать существующую учетную запись с атрибутом role creation и правами доступа к публичным представлениям.
Пример подключения к БД:
psql -U <имя УЗ> -d <имя БД KSC>
- Создайте роль пользователя kuma
CREATE USER kuma WITH PASSWORD '<задайте пароль>';
- Подключитесь к БД KSC (см. Раздел "Проверка имени БД KSC". По умолчанию KAV)
\connect KAV
- Предоставьте права роли KUMA
GRANT SELECT ON v_akpub_ev_event TO kuma;
GRANT SELECT ON v_akpub_host TO kuma;
GRANT SELECT ON v_akpub_virus_activity TO kuma;
GRANT SELECT ON v_akpub_hst_prdstate TO kuma;
GRANT SELECT ON v_akpub_host_status TO kuma;
Настройка удаленного доступа к БД PostgreSQL и метода аутентификации
- Откройте файл /etc/postgresql/<версия БД PostgreSQL>/main/pg_hba.conf и в секции IPv4 local connections добавьте следующую строку
host <имя БД,например, KAV> kuma <IP-адрес коллектора KUMA>/32 scram-sha-256
- Откройте файл конфигурации /etc/postgresql/<версия БД PostgreSQL>/main/postgresql.conf и в секции CONNECTIONS AND AUTHENTICATION укажите IP-адрес интерфейса сервера БД, на котором будут "прослушиваться" входящие соединения
- После внесения изменений и сохранения файла конфигурации выполните рестарт сервиса PostgreSQL
systemctl restart postgresql
При необходимости разрешите входящие соединения на порт БД PostgreSQL (по умолчанию, TCP/5432) в параметрах локального FW.
Создание секрета KUMA
1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты
2. Выберите секрет [OOTB] KSC PostgreSQL connection и нажмите Дублировать.
3. В появившемся окне задайте:
- Название секрета
- URL (формат URL можно взять из Описания к секрету). В поле URL укажите:
- Имя ранее созданной роли (в нашем примере это kuma) и ее пароль;
- IP-адрес или FQDN сервера БД;
- Наименование БД KSC (по умолчанию KAV. См. Проверка имени БД KSC).
Если в пароле используются спецсимволы необходимо перевести данные спецсимволы в URL формат в соответствии с таблицей ниже.
Примеры
postgres://kuma:p%40ssword123%21@server.demo.lab/KAV
! | # | $ | % | & | ' | ( | ) | * | + |
%21 | %23 | %24 | %25 | %26 | %27 | %28 | %29 | %2A | %2B |
, | / | : | ; | = | ? | @ | [ | ] | \ |
%2C | %2F | %3A | %3B | %3D | %3F | %40 | %5B | %5D | %5C |
Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/
Пример:
По умолчанию коллектор KUMA при обращении к БД PostgreSQL будет пытаться построить TLS-туннель. Если на стороне сервера БД не настроено использование SSL/TLS (что НЕ рекомендуется!) в URL секрета необходимо добавить "?sslmode=disable", чтобы строка приняла следующий вид:
postgres://user:password@server/database?sslmode=disable
4. Нажмите Сохранить.
Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.
Настройка коннектора
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы
2. В списке коннекторов справа найдите коннектор [OOTB] KSC PostgreSQL и нажмите Дублировать
3. В появившемся окне задайте:
- Название коннектора
- На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный ранее для подключения к БД PostgreSQL KSC.
4. Нажмите Сохранить.
Настройка коллектора
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы и нажмите Подключить источник
2. В появившемся окне задайте Название коллектора и Тенант
3. На шаге Транспорт выберите ранее созданный коннектор
4. На шаге Парсинг событий выберите нормализатор [OOTB] KSC from SQL.
5. На шаге Маршрутизация задайте следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
6. На шаге Проверка параметров нажмите Сохранить и создать сервис.
7. Скопируйте появившуюся команду и выполните установку сервиса коллектора.
Проверка поступления событий KSC в KUMA
Для проверки, что экспорт событий из БД KSC успешно настроен, перейдите в Ресурсы -> Активные сервисы -> выберите ранее созданный коллектор KSC PostgreSQL и нажмите Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события KSC.
KSC MariaDB
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка MariaDB
В MariaDB настройки на сервере базы данных можно выполнять несколькими способами: через консоль (SSH, терминал ОС) или с помощью графических интерфейсов, таких как phpMyAdmin или MySQL Workbench
В данной статье сервер БД MariaDB работает под управлением ОС Ubuntu 22.04.5, а все настройки выполняются в консоли.
Для удобства в базе данных MariaDB Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA [OOTB] KSC MySQL содержит уже готовые запросы к публичным представлениям v_akpub_ev_event и v_akpub_host.
Для обеспечения корректной работы MariaDB с Kaspersky Security Center рекомендуется использовать версии MariaDB начиная с 10.5.17 или более новые.
Проверка имени БД KSC
Чтобы проверить имя базы данных KSC можно воспользоваться следующей статьей:
Просмор имени базы данных Kaspersky Security Center Linux - (KSC Linux) - https://support.kaspersky.ru/ksc-linux/15.1/228689
Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:
- Подключитесь к серверу базы данных
mariadb -h localhost -u admin -p
где, вместо
admin
задайте логин своего пользователя MariaDB - Запустите интерактивный терминал MariaDB и выведите список баз данных сервера
SHOW DATABASES;
Создание роли БД и предоставление прав
-
Подключитесь к серверу базы данных
mariadb -h localhost -u admin -p
- Создайте роль пользователя для сбора событий, в данном примере -
kuma_siem
CREATE USER kuma_siem IDENTIFIED by 'password';
- Предоставьте права роли KUMA к публичным представлениям:
GRANT SELECT ON `KAV`.`v_akpub_hst_prdstate` TO `kuma_siem`@`%`; GRANT SELECT ON `KAV`.`v_akpub_ev_event` TO `kuma_siem`@`%`; GRANT SELECT ON `KAV`.`v_akpub_host_status` TO `kuma_siem`@`%`; GRANT SELECT ON `KAV`.`v_akpub_virus_activity` TO `kuma_siem`@`%`; GRANT SELECT ON `KAV`.`v_akpub_host` TO `kuma_siem`@`%`
Права предоставляются в виде:
GRANT SELECT ON `название базы данных`.`таблица` TO `имя пользователя БД`@`хост с которого идет подключение`; # % - все хосты
- Проверьте права пользователя
SHOW GRANTS FOR 'kuma_siem'@'%';
При необходимости разрешите входящие соединения на порт БД MariaDB (по умолчанию, TCP/3306) в параметрах локального FW, а также в настройках конфигурационного файла my.cnf
Создание секрета KUMA
1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты → Добавить
2. Создайте секрет MariaDB, В появившемсе окне задайте
- URL (формат URL можно взять из Описания к секрету). В поле URL укажите:
- Имя ранее созданной роли (в нашем примере это kuma_siem) и ее пароль;
- Протокол подключения
- IP-адрес или FQDN сервера БД ;
- Порт подключения (по умолчанию
3306
) - Наименование БД KSC (по умолчанию
KAV
. См. Проверка имени БД KSC).
mysql://<имя пользователя БД>:<Пароль>@<протокол подключения>(<IP-адрес или FQDN сервера БД>:<порт>)/<имя Базы данных>
Например: mysql://kuma_siem:password@tcp(10.10.10.10:3306)/KAV
Если в пароле используются спецсимволы необходимо перевести данные спецсимволы в URL формат в соответствии с таблицей ниже.
Примеры
mysql://kuma:p%40ssword123%2@tcp(ip:port)/KAV
! | # | $ | % | & | ' | ( | ) | * | + |
%21 | %23 | %24 | %25 | %26 | %27 | %28 | %29 | %2A | %2B |
, | / | : | ; | = | ? | @ | [ | ] | \ |
%2C | %2F | %3A | %3B | %3D | %3F | %40 | %5B | %5D | %5C |
Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/
3. Нажмите Сохранить
Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.
Настройка коннектора
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы
2. В списке коннекторов найдите коннектор [OOTB] KSC MySQL, отметьте его галочкой и нажмите Дублировать
3. В появившемся окне задайте:
-
-
- Название коннектора
- На вкладке Основные параметры в разделе Соединение в выпадающих списках URL выберите секрет, созданный ранее для подключения к БД MariaDB KSC
-
Обратите внимание, что в коннекторе используется несколько запросов! URL подключения необходимо заменить для ВСЕХ запросов.
4. В запросе смените название БД (ksc_srv
) на имя БД KSC, в нашем случае KAV
(по умолчанию)
Обратите внимание, что в коннекторе используется несколько запросов! Название БД необходимо заменить для ВСЕХ запросов.
Настройка коллектора
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы и нажмите Подключить источник
2. В появившемся окне задайте Название коллектора и Тенант
3. На шаге Транспорт выберите ранее созданный коннектор
4. На шаге Парсинг событий выберите сдублированный нормализатор [OOTB] KSC from SQL.
5. На шаге Маршрутизация задайте следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
6. На шаге Проверка параметров нажмите Сохранить и создать сервис.
7. Скопируйте появившуюся команду и выполните установку сервиса коллектора.
Проверка поступления событий KSC в KUMA
Для проверки, что экспорт событий из БД KSC успешно настроен, перейдите в Ресурсы -> Активные сервисы -> выберите ранее созданный коллектор KSC PostgreSQL и нажмите Перейти к событиям
В открывшемся окне События убедитесь, что присутствуют события KSC.
Полезные ссылки
Настройка сервера MariaDB x64 для работы с Kaspersky Security Center Linux - https://support.kaspersky.ru/ksc-linux/15/210277
Коннекторы типа sql в kuma - https://support.kaspersky.ru/kuma/3.2/220746
KLMS
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm
Настройка передачи событий KLMS в KUMA
Чтобы настроить передачу событий KLMS в KUMA:
1. Подключитесь к серверу KLMS по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.
2. С помощью утилиты klms-control
выгрузите настройки в файл settings.xml
:
sudo /opt/kaspersky/klms/bin/klms-control --get-settings EventLogger -n -f /tmp/settings.xml
3. Убедитесь, что параметры файла /tmp/settings.xml
имеют следующие значения, при необходимости внесите изменения:
<siemSettings>
<enabled>1</enabled>
<facility>Local1</facility>
4. Примените настройки с помощью следующей команды:
sudo /opt/kaspersky/klms/bin/klms-control --set-settings EventLogger -n -f /tmp/settings.xml
5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf
.
$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>
Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:
local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>
6. Сохраните внесённые изменения.
7. Перезапустите сервис rsyslog с помощью следующей команды:
sudo systemctl restart rsyslog.service
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KLMS.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KLMS.
2. На шаге Парсинг событий выберите нормализатор [OOTB] KLMS syslog CEF.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Настройка получения событий KLMS (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm
KSMG 1.1
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254785.htm
Настройка передачи событий KSMG в KUMA
Данная инструкция применима для KSMG версии 1.1
Чтобы настроить передачу событий KSMG в KUMA:
1. Подключитесь к серверу KSMG по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.
2. С помощью утилиты ksmg-control
выгрузите настройки в файл settings.xml
:
sudo /opt/kaspersky/ksmg/bin/ksmg-control --get-settings EventLogger -n -f /tmp/settings.xml
3. Убедитесь, что параметры файла /tmp/settings.xml
имеют следующие значения, при необходимости внесите изменения:
<siemSettings>
<enabled>1</enabled>
<facility>Local1</facility>
4. Примените настройки с помощью следующей команды:
sudo /opt/kaspersky/ksmg/bin/ksmg-control --set-settings EventLogger -n -f /tmp/settings.xml
5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf
.
$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>
Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:
local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>
6. Сохраните внесённые изменения.
7. Перезапустите сервис rsyslog с помощью следующей команды:
sudo systemctl restart rsyslog.service
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KSMG.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KSMG.
2. На шаге Парсинг событий выберите нормализатор [OOTB] KSMG.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Настройка получения событий KSMG (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254785.htm
Публикация событий в SIEM-систему (онлайн-справка KSMG): https://support.kaspersky.com/help/KSMG/1.1.3/ru-RU/151504.htm
KSMG 2.0
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка отправкм логов для актуальной версии KSMG 2.1.1VA доступно из справки - https://support.kaspersky.com/KSMG/2.1.1VA/ru-RU/218660.htm
Настройка передачи событий KSMG в KUMA
Данная инструкция применима для KSMG версии 2.0
Чтобы настроить передачу событий KSMG в KUMA:
1. Подключитесь к серверу KSMG по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.
2. Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template
:
"siemSettings":
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
"formatting":
{
Прочие параметры оставьте без изменений.
Перед внесением изменений в файл /etc/rsyslog.conf
рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.
3. В файле /etc/rsyslog.conf
измените строку:
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
на
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;local2.none /var/log/messages
4. Добавьте в файл /etc/rsyslog.conf
следующую строку:
local2.* -/var/log/ksmg-cef-messages
5. Создайте файл /var/log/ksmg-cef-messages
и настройте права доступа к нему. Для этого выполните команды:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
6. Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл /etc/logrotate.d/ksmg-syslog
следующие строки:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
7. Перезапустите сервис rsyslog с помощью следующей команды:
service rsyslog restart
Если вам не требуется сохранять файлы локально, пропустите шаги 4–7 из инструкции выше
8. В веб-интерфейсе приложения в разделе Параметры → Журналы и события → События внесите изменение в значение любого параметра и нажмите на кнопку Сохранить.
Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.
9. Внесите следующие изменения в файл /etc/rsyslog.conf
:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @<IP-адрес коллектора KUMA>:<порт коллектора>
Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:
local2.* @@<IP-адрес коллектора KUMA>:<порт коллектора>
10. Перезапустите службу rsyslog. Для этого выполните команду:
service rsyslog restart
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KSMG.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KSMG.
2. На шаге Парсинг событий выберите нормализатор [OOTB] KSMG.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
В случае если события не поступают перезапустите сервис rsyslog несколько раз
Полезные ссылки
Публикация событий в SIEM-систему (онлайн-справка KSMG): https://support.kaspersky.com/KSMG/2.0.1/ru-RU/151504.htm
KWTS 6.0
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254373.htm
Настройка передачи событий KWTS в KUMA
Данная инструкция применима для KWTS версии 6.0
Чтобы настроить передачу событий KWTS в KUMA:
1. Подключитесь к серверу KWTS по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.
Перед внесением изменений создайте резервные копии следующих файлов:
- /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template
- /etc/rsyslog.conf
2. Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template
:
"siemSettings":
{
"enabled": true,
"facility": "Local5",
"logLevel": "Info",
"formatting":
{
Прочие параметры оставьте без изменений.
3. Внести изменения в файл /etc/rsyslog.conf
:
$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.* @<IP-адрес коллектора KUMA>:<порт коллектора>
Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:
local5.* @@<IP-адрес коллектора KUMA>:<порт коллектора>
4. Перезапустите сервис rsyslog с помощью следующей команды:
sudo systemctl restart rsyslog.service
5. В веб-интерфейсе приложения в разделе Параметры → Syslog включите опцию Записывать информацию о профиле трафика и нажмите на кнопку Сохранить.
Дополнительный вариант логирования
Так как в CEF могут логироваться не все события, в некоторых случаях целесообразно будет также оправлять в KUMA лог из /var/log/kwts-messages
. В этом логе, например, содержится GUID, который позволяет связать события в КАТА и KWTS при отправке файлов на проверку в KATA.
Для отправки на KUMA этих событий необходимо в файле /etc/rsyslog.conf
добавить отправку событий с facility local1 в KUMA. Однако коллектор для этих целей потребуется другой, т.к. логи в данном случае будут не в формате CEF, а в kv. Также это потребует и разработки кастомного парсера.
Чтобы настроить отправку local1 в KUMA нужно в конец файла дописать следующее для отправки по UDP:
local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>
Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:
local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>
После перезапустите сервис rsyslog с помощью следующей команды:
sudo systemctl restart rsyslog.service
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KWTS.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KWTS.
2. На шаге Парсинг событий выберите нормализатор [OOTB] KWTS syslog CEF.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Настройка получения событий KWTS (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254373.htm
KATA
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/240690.htm
Настройка KATA
Для настройки пересылки событий из KATA в SIEM KUMA необходимо выполнить следующие действия:
1. Перейти в веб-консоль центрального узла Kaspersky Anti Targeted Attack из-под учетной записи Администратора, предварительно отметив параметр Local administrator
2. Перейти в раздел Settings – SIEM System и настроить параметры отправки событий в KUMA SIEM:
Host/IP: ip или fqdn адрес коллектора KUMA
Port: порт коллектора KUMA
Protocol: TCP или UDP
Host ID: напр., kata-cn
Heartbeat: интервал в минутах
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Kaspersky Anti Targeted Attack Platform.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KATA.
2. На шаге Парсинг событий выберите нормализатор [OOTB] KATA.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Настройка получения событий KATA/EDR (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/240690.htm
KATA/NDR 7.0
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Данная инструкция предназначена строго для версии KATA/NDR 7.0. Инструкция для предыдущих версии находится в соответствующем разделе базы знаний.
Данная способ позволяет собирать события NDR. Для сбора событий KATA воспользуйтесь соответствующей инструкцией.
Настройка KATA/NDR
Для настройки пересылки событий из KATA/NDR в SIEM KUMA необходимо выполнить следующие действия:
1. Перейти в веб-консоль KATA/NDR из-под учетной записи Администратора
2. Перейти в раздел Параметры – Коннекторы и нажать на кнопку Добавить коннектор
3. В открывшемся окне настроить параметры отправки событий в KUMA SIEM:
Тип коннектора: SIEM;
Имя коннектора: произвольное название, например, KUMA Syslog;
Адрес сервера: 127.0.0.1;
Узел размещения коннектора: выбрать нужный из выпадающего списка;
Пользователь программы: выбрать нужного из выпадающего списка;
Адрес SIEM сервера: IP-адрес сервера коллектора KUMA;
Номер порта: порт коллектора KUMA;
Транспортный протокол: TCP или UDP.
Разрешить отправку записей аудита: вкл, если требуется передача событий аудита
Разрешить отправку сообщений программы: вкл, если требуется передача сообщений программы
3. По завершении заполнения необходимых полей нажать кнопку Сохранить.
В результате в интерфейсе KATA/NDR созданный коннектор перейдет в состояние Работает.
Настройка отправки событий
По умолчанию события безопасности KATA/NDR не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.
Для настройки отправки событий необходимо:
1. Войти в интерфейс KATA/NDR от имени пользователя Старший офицер безопасности
2. Перейти на вкладку Параметры – Типы событий
3. Выбрать один или несколько типов событий, которые необходимо передавать
4. Нажать на кнопку Выбрать коннекторы
5. Установить флаг напротив тех систем, в которые необходимо предавать выбранные события
6. Подтвердить выбор нажатием кнопки ОК
После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KATA/NDR.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KATA/NDR. Также обязательно задайте в качестве разделителя \0.
2. На шаге Парсинг событий выберите соответствующий нормализатор
Какой нормализатор можно использовать
Сделайте копию коробочного нормализатора [OOTB] KICS4Net v3.х
В копии нормализатора, в главном парсере, на вкладке Обогащение измените значение константы для поля DeviceProduct на NDR
Сохраните нормализатор и используйте его в коллекторе KATA/NDR
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
KEDR 4.0-4.1
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm
Настройка KEDR
Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.1, выполните следующие действия на стороне Kaspersky Endpoint Detection and Response:
1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.
Отобразится меню администратора компонента программы.
3. В меню администратора компонента программы выберите режим Technical Support Mode.
4. Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.
5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. Выполните команду
sudo -i
7. В конфигурационном файле /etc/sysconfig/apt-services
в поле KAFKA_PORTS
удалите значение 10000
.
Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000
.
Настоятельно не рекомендуется использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду:
iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP
8. Выполните команду
systemctl restart apt_ipsec.service
9. В конфигурационном файле /usr/bin/apt-start-sedr-iptables
в поле WEB_PORTS
добавьте значение 10000
через запятую без пробела.
10. Выполните команду
sudo sh /usr/bin/apt-start-sedr-iptables
Настройка KUMA
1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> centralnode
в один из следующих файлов:
%WINDIR%\System32\drivers\etc\hosts
– в случае сбора телеметрии KEDR агентом KUMA для Windows.
Как отредактировать файл hosts в Windows
1. Запустите cmd.exe от имени администратора
2. Выполните команду
notepad.exe %WINDIR%\System32\drivers\etc\hosts
3. Внести изменения в файл и сохраните (Ctrl + S
)
/etc/hosts
file – в случае сбора телеметрии KEDR коллектором или агентом KUMA для Linux.
2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.
При создании коннектора укажите следующие параметры:
- В поле URL укажите <IP-адрес сервера Central Node>:10000
- В поле Topic укажите EndpointEnrichedEventsTopic.
- В поле Consumer group укажите любое уникальное имя.
3. В веб-интерфейсе KUMA создайте коллектор.
4. На шаге Транспорт укажите коннектор, созданный на шаге 2.
5. На шаге Парсинг событий выберите нормализатор [OOTB] KEDR telemetry.
6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
7. На шаге Проверка параметров нажмите Сохранить и создать сервис.
8. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Настройка получения событий KATA/EDR (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm
KEDR 5.0-6.0
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm
Настройка KEDR
При импорте событий из Kaspersky Endpoint Detection and Response 5.0 действует ряд ограничений:
- Импорт событий доступен только для неотказоустойчивой версии Kaspersky Endpoint Detection and Response.
- Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
- Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.
Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 5.0, выполните следующие действия на стороне Kaspersky Endpoint Detection and Response:
1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.
Отобразится меню администратора компонента программы.
3. В меню администратора компонента программы выберите режим Technical Support Mode.
4. Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.
5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. Выполните команду
sudo -i
7. В конфигурационном файле /usr/local/lib/python3.8/dist-packages/firewall/create_iptables_rules.py
укажите дополнительный порт 10000
для константы WEB_PORTS
:
WEB_PORTS = f'10000,80,{AppPort.APT_AGENT_PORT},{AppPort.APT_GUI_PORT}'
Для KATA 6.0 файл находится по пути /opt/venv/lib/python3.11/site-packages/firewall/create_iptables_rules.py
и строку надо отредактировать в таком виде:
WEB_PORTS = '10000,80,' + ','.join(
8. Выполните команды:
Кластерная подсеть по умолчанию: 198.18.0.0/16
kata-firewall stop
kata-firewall start --cluster-subnet <маска сети для адресации серверов кластера>
Настройка KUMA
1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> kafka.services.external.dyn.kata
в один из следующих файлов:
%WINDIR%\System32\drivers\etc\hosts
– в случае сбора телеметрии KEDR агентом KUMA для Windows.
Как отредактировать файл hosts в Windows
1. Запустите cmd.exe от имени администратора
2. Выполните команду
notepad.exe %WINDIR%\System32\drivers\etc\hosts
3. Внести изменения в файл и сохраните (Ctrl + S
)
/etc/hosts
file – в случае сбора телеметрии KEDR коллектором или агентом KUMA для Linux.
2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.
При создании коннектора укажите следующие параметры:
- В поле URL укажите <IP-адрес сервера Central Node>:10000
- В поле Topic укажите EndpointEnrichedEventsTopic.
- В поле Consumer group укажите любое уникальное имя.
3. В веб-интерфейсе KUMA создайте коллектор.
4. На шаге Транспорт укажите коннектор, созданный на шаге 2.
5. На шаге Парсинг событий выберите нормализатор [OOTB] KEDR telemetry.
6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
7. На шаге Проверка параметров нажмите Сохранить и создать сервис.
8. Скопируйте появившуюся команду для установки коллектора KUMA.
Случай с несколькими серверами KEDR
При наличии двух серверов EDR брокер на обоих узлах в метаданных передает одно и то же имя centralnode. Таким образом, выгрузка телеметрии через Кафку одновременно с двух разных узлов EDR становится невозможной, так как они просят клиента обращаться по одному и тому же некорректному адресу http://centralnode:10000.
Для решения проблемы:
1. на одной CN выгрузим параметры, с которым контейнер стартует:
console-settings-updater get /kata/configuration/product/kafka | python3 -m json.tool > /tmp/kafka.conf
2. Откроем в редакторе файл: vim kafka.conf
и исправляем строку "external_address": "kafka.services.external.dyn.kata"
на "external_address": "kafka2.services.external.dyn.kata"
3. Загружаем файл обратно в контейнер:
console-settings-updater set /kata/configuration/product/kafka @/tmp/kafka.conf
KEDR 5.1+ (Телеметрия EDR по API)
✔️ Рекомендуется - Рекомендуемый способ сбора для этого источника событий
Данная инструкция предназначена для версии KUMA с 3.0.2+, а также версий KATA 5.1+
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm
Создание секрета
Для подключения KEDR со стороны KUMA по API необходимо создать секрет для аутентификации. Для этого выполните следующие действия:
1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты и нажмите на кнопку Добавить.
2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.
3. Нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения, после чего произойдет скачивание архива.
4. Распакуйте архив. Внутри будут файл сертификата и файл закрытого ключа.
5. Укажите Файл сертификата и Закрытый ключ в соответствии с рисунком:
6. Сохраните секрет
Настройка коллектора
После того как был создан секрет, требуется создать коллектор в веб-интерфейсе KUMA для событий KEDR.
1. На шаге Транспорт укажите тип kata/kedr и URL в формате <IP-адрес или FQDN CN KATA>:<порт, по умолчанию 443>), в поле Секрет укажите ранее созданный секрет.
2. На шаге Парсинг событий выберите нормализатор [OOTB] KEDR telemetry.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
В Дополнительных параметрах транспорта параметр Время ожидания получения событий означает время, за которое KATA собирает события для отправки.
Настройка KATA
Для настройки сбора событий телеметрии из KATA в SIEM KUMA необходимо выполнить следующие действия:
1. Перейти в веб-консоль центрального узла Kaspersky Anti Targeted Attack из-под учетной записи Администратора, предварительно отметив параметр Local administrator
2. Перейти в раздел External systems и нажать Accept (для дальнейшего удобства вы можете изменить содержимое поля Name, например, на KUMA). Также следует проверить, что значение в поле ID совпадает со значением поля Внешний ID в настройках транспорта коллектора KUMA.
Полезные ссылки
Подробные сведения о получении событий от Kaspersky Endpoint Detection and Response: https://support.kaspersky.com/KATA/5.1/ru-RU/248949.htm
Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr: https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm
KICS 3.1 и ниже
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Данная инструкция предназначена строго для версии KICS for Networks 3.1 или ниже. Инструкция для версии 4.0 и выше находится в соответствующем разделе базы знаний.
Настройка KICS for Networks
Для настройки пересылки событий из KICS4Net в SIEM KUMA необходимо выполнить следующие действия:
1. Перейти в веб-консоль KICS for Networks из-под учетной записи Администратора
2. Перейти в раздел Параметры – Коннекторы и настроить параметры отправки событий в KUMA SIEM:
Тип коннектора: SIEM;
Имя коннектора: произвольное название, например, KUMA;
Адрес сервера: IP-адрес MGMT интерфейса сервера KICS for Networks;
Адрес узла коннектора: IP-адрес узла, на котором Вы устанавливаете коннектор (Если используется коннектор, располагаемый на сервере KICS for Networks, то указывается IP адрес MGMT интерфейса сервера. Если пакет с коннектором будет установлен на другом узле, то необходимо указать IP адрес этого узла);
Пароль для доступа к сертификату коннектора: пароль для архива с сертификатом сервера KICS for Networks, который будет сформирован после применения настроек коннектора;
Адрес SIEM сервера: IP-адрес сервера коллектора KUMA;
Номер порта: порт коллектора KUMA;
Транспортный протокол: TCP или UDP.
3. По завершении заполнения необходимых полей нажать кнопку Сохранить.
После сохранения настроек в списке коннекторов появится созданный коннектор. Для KICS for Networks 3.1 и ниже автоматически загрузится файл свертки с сертификатом сервера KICS for Networks, который необходимо перенести на узел, где установлен коннектор. Вновь созданный коннектор перейдет в режим Ожидание регистрации до того момента, как вы создадите службу на узле, где установлен коннектор.
4. Для создании службы необходимо на узле, где установлен коннектор, перейти в раздел /opt/kaspersky/kics4net-connectors/sbin
cd /opt/kaspersky/kics4net-connectors/sbin
и запустить скрипт registrar.py
python3 registrar.py create
Далее потребуется указать имя коннектора, имя архива с файлом свертки и пароль к архиву файла свертки, подтвердить запуск службы после ее создания.
В результате в интерфейсе KICS for Networks созданный коннектор перейдет в состояние Зарегистрирован.
Настройка отправки событий
По умолчанию события безопасности KICS for Networks не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.
Для настройки отправки событий необходимо:
1. Перейти на вкладку Параметры – Типы событий
2. Выбрать один или несколько типов событий, которые необходимо передавать
3. Нажать на кнопку Выбрать коннекторы
4. Установить флаг напротив тех систем, в которые необходимо предавать выбранные события
5. Подтвердить выбор нажатием кнопки ОК
После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KICS for Networks.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KICS for Networks.
2. На шаге Парсинг событий выберите нормализатор [OOTB] KICS4Net v3.х.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Настройка создания коннектора KICS for Networks (онлайн-справка KICS for Networks): https://support.kaspersky.com/help/KICSforNetworks/3.1/ru-RU/136497.htm
KICS 4.0 и выше
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Данная инструкция предназначена строго для версии KICS for Networks 4.0 или ниже. Инструкция для версии 3.1 и ниже находится в соответствующем разделе базы знаний.
Настройка KICS for Networks
Для настройки пересылки событий из KICS for Networks в SIEM KUMA необходимо выполнить следующие действия:
1. Перейти в веб-консоль KICS for Networks из-под учетной записи Администратора
2. Перейти в раздел Параметры – Коннекторы и настроить параметры отправки событий в KUMA SIEM:
Тип коннектора: SIEM;
Имя коннектора: произвольное название, например, KUMA;
Адрес сервера: IP-адрес MGMT интерфейса сервера KICS for Networks;
Адрес узла коннектора: IP-адрес узла, на котором Вы устанавливаете коннектор (Если используется коннектор, располагаемый на сервере KICS for Networks, то указывается IP адрес MGMT интерфейса сервера. Если пакет с коннектором будет установлен на другом узле, то необходимо указать IP адрес этого узла);
Пароль для доступа к сертификату коннектора: пароль для архива с сертификатом сервера KICS for Networks, который будет сформирован после применения настроек коннектора;
Адрес SIEM сервера: IP-адрес сервера коллектора KUMA;
Номер порта: порт коллектора KUMA;
Транспортный протокол: TCP или UDP.
3. По завершении заполнения необходимых полей нажать кнопку Сохранить.
Начиная с версии 4.0 коннектор автоматически осуществит регистрацию в продукте.
В результате в интерфейсе KICS for Networks созданный коннектор перейдет в состояние Зарегистрирован.
Настройка отправки событий
По умолчанию события безопасности KICS for Networks не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.
Для настройки отправки событий необходимо:
1. Перейти на вкладку Параметры – Типы событий
2. Выбрать один или несколько типов событий, которые необходимо передавать
3. Нажать на кнопку Выбрать коннекторы
4. Установить флаг напротив тех систем, в которые необходимо предавать выбранные события
5. Подтвердить выбор нажатием кнопки ОК
После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KICS for Networks.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KICS for Networks.
2. На шаге Парсинг событий выберите соответствующий нормализатор.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Настройка создания коннектора KICS for Networks (онлайн-справка KICS for Networks): https://support.kaspersky.com/help/KICSforNetworks/4.0/ru-RU/136497.htm