Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Для KUMA 3.2 добавился новый способ сбора DNS логов в формате ETW. Подробнее в статье: [https://kb.kuma-community.ru/books/podkliucenie-istocnikov/page/ms-etw-dns-analytics-kuma-32](https://kb.kuma-community.ru/books/podkliucenie-istocnikov/page/ms-etw-dns-analytics)
### Настройка DNS сервера Передача событий из MS DNS в KUMA осуществляется путем чтения лог файла DNS. По умолчанию запись событий в файл на DNS сервере выключена. Чтобы включить логирование событий DNS в файл необходимо для начала создать папку, в которую будут записываться файлы событий DNS. Например, `C:\dns`. После создания папки необходимо разрешить общий доступ на чтение к этой папке. Рекомендуется создать отдельного пользователя для этой операции. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/y0limage.png) Далее необходимо запустить оснастку **DNS Manager**, выбрать нужный DNS сервер и перейти в свойства.  В свойствах сервера необходимо перейти на вкладку **Debug Logging**, включить расширенное логирование и задать путь к файлу, в который будут записывать слоги DNS сервера. Размер лог файла рекомендуется 50 Мб.  --- ### Монтирование папки в KUMA Для чтения файла логов коллектором KUMA необходимо примонтировать папку содержащую логи DNS сервера на сервер коллектора KUMA. Для начала необходимо установить утилиту **cifs**, если она еще не установлена. ``` yum install -y cifs-utils ``` Далее необходимо создать файл с учетными данными пользователя для доступа к общей папке `/root/.dns-secret` со следующим содержимым: ```bash username=<имя пользователя с правами на чтение папки> password=<пароль пользователя> domain=<домен, в случае доменного пользователя> ``` Далее нужно создать папку на сервере коллектора KUMA, куда будет примонтирована папка с логами DNS сервера. ``` mkdir /mnt/dns ``` Далее в конец файла **/etc/fstab** необходимо добавить строку ```bash \\<путь к общей папке сервера> <путь монтирования> cifs credentials=<файл с учетными данными>,cache=none 0 0 ``` Пример: ```bash \\dc-01.sales.lab\dns /mnt/dns cifs credentials=/root/.dns-secret,cache=none 0 0 ``` Далее необходимо примонтировать общую папку командой: ```bash mount -a ``` Для проверки успешности монтирования можно выполнить следующую команду: ```bash ls /mnt/dns ``` В выводе консоли должен присутствовать файл логов DNS сервера с правами на чтение для всех пользователей [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/kc2image.png) --- ### Создание коллектора KUMA Для создания коллектора KUMA необходимо в веб-консоли KUMA перейти на вкладку **Ресурсы – Коллекторы** и нажать на кнопку **Добавить коллектор**. Также можно на вкладке **Ресурсы** выбрать пункт **Подключить источник**. В обоих случая откроется мастер подключения источников событий. На первом шаге мастера необходимо выбрать **Тенант**, которому будет принадлежать коллектор и также задать **Имя** коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/meWimage.png) На втором шаге мастера необходимо выбрать тип подключения file и указать **папку** сервера коллектора, куда примонтирована папка с логами DNS сервера. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/IWbimage.png) На третьем шаге мастера необходимо выбрать предустановленный нормализатор **\[OOTB\] DNS Windows**. В случае отсутствия указанного нормализатора, обратитесь к своему менеджеру для его получения. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/Zmpimage.png) Шаги мастера с четвертого по шестой можно пропустить, либо заполнить позднее по своему усмотрению. На седьмом шаге мастера необходимо указать точки назначения типа **Хранилище**, если требуется сохранение событий в БД и типа **Коррелятор**, если требуется корреляция событий. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/FtKimage.png) На последнем шаге мастера необходимо нажать на кнопку **Сохранить и создать сервис**, после чего скопировать появившуюся команду для дальнейшей установки сервиса коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/SL0image.png) В результате на вкладке **Ресурсы – Активные сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/T8Fimage.png) --- ### Установка коллектора KUMA Для установки сервиса коллектора необходимо подключиться к консоли сервера коллектора KUMA. Для установки сервиса коллектора необходимо выполнить скопированную команду. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/mG3image.png) В результате статус коллектора в веб-интерфейсе KUMA изменится на **зеленый**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/IaVimage.png) Для проверки поступления событий выберите соответствующий коллектор (галочка слева) и нажмите на кнопку **Перейти к событиям**. В открывшемся окне события при нажатии на значок лупы должны появиться события DNS сервера. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/qpzimage.png) # MS DHCPИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройка DHCP сервера Передача событий из MS DHCP в KUMA осуществляется путем чтения лог файлов DHCP. Откройте оснастку DHCP и убедитесь, что для DHCP сервера включено логирование.  События DHCP сервера пишутся в папку `C:\Windows\system32\dhcp\`. Для данной папки необходимо включить общий доступ на чтение.  После предоставления общего доступа у папки должен быть статус **Shared**.  --- ### Монтирование папки в KUMA Для чтения файла логов коллектором KUMA необходимо примонтировать папку содержащую логи DHCP сервера на сервер коллектора KUMA. Для начала необходимо установить утилиту **cifs**, если она еще не установлена. ```bash yum install -y cifs-utils ``` Далее необходимо создать файл с учетными данными пользователя для доступа к общей папке **/root/.dhcp-secret** со следующим содержимым: ```bash username=<имя пользователя с правами на чтение папки> password=<пароль пользователя> domain=<домен, в случае доменного пользователя> ``` Далее нужно создать папку на сервере коллектора KUMA, куда будет примонтирована папка с логами DNS сервера. ```bash mkdir /mnt/dhcp ``` Далее в конец файла `/etc/fstab` необходимо добавить строку ```bash \\<путь к общей папке сервера> <путь монтирования> cifs credentials=<файл с учетными данными> 0 0 ``` Пример: ```bash \\dc-01.sales.lab\dhcp /mnt/dhcp cifs credentials=/root/.dhcp-secret 0 0 ``` Далее необходимо примонтировать общую папку командой: ``` mount -a ``` Для проверки успешности монтирования можно выполнить следующую команду: ``` ls /mnt/dhcp ``` В выводе консоли должны присутствовать файлы логов DHCP сервера с правами на чтение для всех пользователей [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/yr9image.png) --- ### Создание коллектора KUMA Для создания коллектора KUMA необходимо в веб-консоли KUMA перейти на вкладку **Ресурсы – Коллекторы** и нажать на кнопку **Добавить коллектор**. Также можно на вкладке **Ресурсы** выбрать пункт **Подключить источник**. В обоих случая откроется мастер подключения источников событий. На первом шаге мастера необходимо выбрать **Тенант**, которому будет принадлежать коллектор и также задать **Имя коллектора**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/0uiimage.png) На втором шаге мастера необходимо выбрать тип подключения **file** и указать **маску пути** для файлов логов DHCP сервера. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/ZJlimage.png) Поддерживаемые маски: - `*` – соответствует любой последовательности символов; - `[' [ '^' ] { диапазон символов } ']` – класс символов (не должен быть пустым); - `?` – соответствует любому одиночному символу. Диапазоны символов: - `[0-9]` – числа; - `[a-zA-Z]` – буквы латинского алфавита. Примеры: - `/var/log/*som?[1-9].log` - `/mnt/dns_logs/*/dns.log` - `/mnt/proxy/access*.log` На третьем шаге мастера необходимо выбрать предустановленный нормализатор **\[OOTB\] MS DHCP file**. В случае отсутствия указанного нормализатора, обратитесь к своему менеджеру для его получения. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/HUwimage.png) Шаги мастера с четвертого по шестой можно пропустить, либо заполнить позднее по своему усмотрению. На седьмом шаге мастера необходимо указать точки назначения типа **Хранилище**, если требуется сохранение событий в БД и типа **Коррелятор**, если требуется корреляция событий. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/Vf2image.png) На последнем шаге мастера необходимо нажать на кнопку **Сохранить и создать сервис**, после чего скопировать появившуюся команду для дальнейшей установки сервиса коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/EVwimage.png) В результате на вкладке **Ресурсы – Активные сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/Sa0image.png) --- ### Установка коллектора KUMA Для установки сервиса коллектора необходимо подключиться к консоли сервера коллектора KUMA. Для установки сервиса коллектора необходимо выполнить скопированную команду. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/pHQimage.png) В результате статус коллектора в веб-интерфейсе KUMA изменится на **зеленый**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/p6Kimage.png) Для проверки поступления событий выберите соответствующий коллектор (галочка слева) и нажмите на кнопку **Перейти к событиям**. В открывшемся окне события при нажатии на значок лупы должны появиться события DHCP сервера. # MS WEC**✔️ Рекомендуется** - Рекомендуемый способ сбора для этого источника событий
Настройка сбора событий с устройств Windows при помощи Агента KUMA (WEC).Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.ru/kuma/4.0/248413](https://support.kaspersky.ru/kuma/4.0/248413)
### ### Описание схемы работы Сбор событий Windows с использованием Windows Event Collector (WEC) позволяет централизованно собирать события с множества устройств Windows в сети. В основе данного способа лежит технология Windows Event Forwarding (WEF), которая обеспечивает передачу событий с источников (рабочие станции и серверы) на центральный сервер-коллектор (WEC). Этот подход упрощает мониторинг и управление событиями в масштабах всей сети, обеспечивая единую точку сбора данных. Компоненты схемы: - **Источники событий:** рабочие станции и серверы Windows. - **Windows Event Collector или WEC-сервер** - сервер, с запущенной службой «Сборщик событий Windows». Данный сервер на основании создаваемых подписок на события получает события от источников и обеспечивает их локальное хранение. Взаимодействие между WEC-сервером и источниками событий осуществляется с использованием протокола удаленного управления Windows (WS-Management protocol). Для настройки доступно два типа подписок: - Source-initiated subscriptions (Push) — события отправляются источником. Источники настраиваются на отправку событий на WEC-сервер с помощью GPO. - Collector-initiated subscriptions (Pull) — события собираются WEC-сервером самостоятельно. WEC-сервер подключается к рабочим станциям/серверам и забирает события из локальных журналов. - **Агент KUMA** - компонент KUMA, устанавливаемый на WEC-сервер для отправки собранных событий с источников в коллектор KUMA. - **Коллектор KUMA** - компонент KUMA, обеспечивающий прием/нормализацию/агрегацию/фильтрацию событий, полученных от агента KUMA, и их дальнейшую отправку в коррелятор и/или хранилище KUMA.  В данном примере мы рассмотрим вариант **Source-initiated subscriptions (режим** **Push) **ввиду того, что этот режим более предпочтителен из-за отсутствия необходимости настройки «прослушивания» входящих соединений службой WinRM на источниках событий.Подробнее о Windows Event Collector и технологии Windows Event Forwarding: [https://learn.microsoft.com/en-us/windows/win32/wec/windows-event-collector](https://learn.microsoft.com/en-us/windows/win32/wec/windows-event-collector) [https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/use-windows-event-forwarding-to-assist-in-intrusion-detection](https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/use-windows-event-forwarding-to-assist-in-intrusion-detection)
### Рекомендации для сервера WEC[https://learn.microsoft.com/en-us/troubleshoot/windows-server/admin-development/configure-eventlog-forwarding-performance](https://learn.microsoft.com/en-us/troubleshoot/windows-server/admin-development/configure-eventlog-forwarding-performance)
### Настройка политики аудита По умолчанию на устройствах Windows аудит событий не осуществляется. Рекомендуется настраивать политику аудита Windows, исходя из перечня событий аудита, которые нужны для работы «коробочных» правил корреляции KUMA (например, вход в систему, запуск процессов и т.д.). При необходимости перечень журналируемых событий аудита в дальнейшем можно расширить.Перечень событий аудита Windows, используемых в "коробочных" правилах корреляции: [https://support.kaspersky.ru/kuma/4.0/250594](https://support.kaspersky.ru/kuma/4.0/250594)
#### Настройка политики аудита на отдельной рабочей станции/сервере ##### Windows Event Log Powershell Чтобы настроить аудит событий, связанных с выполнением команд и скриптов в PowerShell на отдельной рабочей станции/сервере: - Запустите оснастку **Редактор локальной групповой политики**: нажмите кнопку **Win** → введите **gpedit.msc** и запустите **Редактор локальной групповой политики** от имени администратора. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image28.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image29.png) - Перейдите в **Конфигурация компьютера** → **Административные шаблоны** → **Компоненты Windows** → **Windows PowerShell**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image30.png) - Выберите **Включить ведение журнала модулей**. - В появившемся окне **Включить ведение журнала модулей**: - Укажите **Включено**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image31.png) - В секции **Параметры** нажмите **Показать**. В окне **Вывод содержания** в качестве значения укажите «\*» и нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image32.png) - В окне **Включить ведение журнала модулей** нажмите **ОК**. - Выберите **Включить регистрацию блоков сценариев PowerShell**. - В появившемся окне **Включить регистрацию блоков сценариев PowerShell** укажите **Включено** и нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image33.png) - Убедитесь, что состояние параметров политики соответствует скриншоту ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image34.png) ##### Windows Event Log Security Чтобы настроить аудит событий, связанных с входами пользователей, аутентификацией, доступом к ресурсам, изменениями учетных записей и т.д. на отдельной рабочей станции/сервере: - Запустите оснастку **Редактор локальной групповой политики**: нажмите кнопку **Win** → введите **gpedit.msc** и запустите **Редактор локальной групповой политики** от имени администратора. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image28.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image29.png) - Перейдите в **Конфигурация компьютера** → **Конфигурация Windows** → **Параметры безопасности** → **Конфигурация расширенной политики аудита** → **Политики аудита системы** - **Объект локальной групповой политики**. - Настройте параметры аудита согласно скриншотам ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/NYuimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/351image.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/Cpkimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/6URimage.png)При использовании **Расширенной политики аудита** необходимо включить параметр **"Аудит: принудительное переопределение параметров категории политики аудита параметрами подкатегории политики аудита (Windows Visa или более поздние версии)** в целях переопределения параметров, указанных в **Политике аудита**.
[](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/BeKimage.png) Дополнительно необходимо включить журналирование команд, выполняемых в командной строке (cmd): - Запустите оснастку **Редактор локальной групповой политики**: нажмите кнопку **Win** → введите **gpedit.msc** и запустите **Редактор локальной групповой политики** от имени администратора. - Перейдите в **Конфигурация компьютера** → **Административные шаблоны** → **Система** → **Аудит создания процессов**. - Активируйте параметр политики **Включать командную строку в события создания процессов**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/Zbzimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image37.png)В данном статье не рассматривается настройка аудита событий доступа к объектам (ветки реестра, папки и файлы и т.д.) и событий доступа к службе каталогов.
##### Windows Event Log System Дополнительные настройки для журнала System не требуются. ##### Windows Event Log Defender Дополнительные настройки для журнала Microsoft-Windows-Windows Defender/Operational не требуются. #### Настройка политики аудита для группы рабочих станций/серверов средствами GPO При наличии опыта администрирования Windows инфраструктуры вы можете использовать наиболее привычный для Вас способ настройки. Ниже описан один из вариантов настройки. Чтобы настроить политику аудита для группы рабочих станций/серверов средствами GPO: - Создайте группу компьютеров средствами **Active Directory – пользователи и компьютеры**, задайте имя группе, например, **KUMA WEC**. Добавьте в данную группу рабочие станции/серверы, с которых предполагается сбор событий. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image38.png)Если предполагается сбор событий с контроллеров домена, в таком случае, контроллеры домена **можно не добавлять в созданную группу компьютеров**, добавив отдельно в **Фильтр безопасности** при настройке GPO
- Для того, чтобы изменения вступили в силу (в данном случае членство в новой группе), выполните перезагрузку устройства. Альтернативным вариантом может быть перевыпуск Kerberos-тикетов для устройства с помощью klist.exe. - На контроллере домена запустите оснастку **Управление групповой политикой**: нажмите **Win + R** → **gpmc.msc**. - Выберите существующий объект групповой политики или создайте новый. В данном примере создается новый объект групповой политики **Audit Policy for KUMA**: **ПКМ Объекты групповой политики** → **Создать** → введите в имени **Audit Policy for KUMA**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image39.png) - Далее выберите созданный объект групповой политики **Audit Policy for KUMA** и нажмите **Изменить**. ##### Windows Event Log Powershell Чтобы настроить аудит событий, связанных с выполнением команд и скриптов в PowerShell: - Перейдите в **Конфигурация компьютера** → **Политики** → **Административные шаблоны** → **Компоненты Windows** → **Windows PowerShell**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image40.png) - Выберите **Включить ведение журнала модулей**. - В появившемся окне **Включить ведение журнала модулей**: - Укажите **Включено**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image31.png) - В секции **Параметры** нажмите **Показать**. В окне **Вывод содержания** в качестве значения укажите «\*» и нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image32.png) - В окне **Включить ведение журнала модулей** нажмите **ОК**. - Выберите **Включить регистрацию блоков сценариев PowerShell**. - В появившемся окне **Включить регистрацию блоков сценариев PowerShell** укажите **Включено** и нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image33.png) - Убедитесь, что состояние параметров политики соответствует скриншоту ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image41.png) ##### Windows Event Log Security Чтобы настроить аудит событий, связанных с входами пользователей, аутентификацией, доступом к ресурсам, изменениями учетных записей и т.д.: - Перейдите в **Конфигурация компьютера** → **Конфигурация Windows** → **Параметры безопасности** → **Конфигурация расширенной политики аудита** → **Политики аудита**. - Настройте параметры аудита согласно скриншотам ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/ropimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/Gqbimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/wM8image.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/pNLimage.png)При использовании **Расширенной политики аудита** необходимо включить параметр **"Аудит: принудительное переопределение параметров категории политики аудита параметрами подкатегории политики аудита (Windows Visa или более поздние версии)** в целях переопределения параметров, указанных в **Политике аудита**.
[](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/CQPimage.png) Дополнительно необходимо включить журналирование команд, выполняемых в командной строке (cmd): - Перейдите в **Конфигурация компьютера** → **Политики** → **Административные шаблоны** → **Система** → **Аудит создания процессов**. - Активируйте параметр политики **Включать командную строку в события создания процессов**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/6Ioimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image37.png)В данном статье не рассматривается настройка аудита событий доступа к объектам (ветки реестра, папки и файлы и т.д.) и событий доступа к службе каталогов.
##### Windows Event Log System Дополнительные настройки для журнала System не требуются. ##### Windows Event Log Defender Дополнительные настройки для журнала Microsoft-Windows-Windows Defender/Operational не требуются. - Далее вернитесь в **Управление групповой политикой** → выберите объект групповой политики **Audit Policy for KUMA** → в окне справа **Фильтры безопасности** удалите группу **Прошедшие проверку** и добавьте группу **KUMA WEC**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image44.png) - Нажмите **ПКМ** на домен и выберите **Связать существующий объект групповой политики** → выберите **Audit Policy for KUMA** и нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image45.png) - Итоговый вид политики должен выглядеть следующим образом (см. скриншот). [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image46.png) - В целом, групповые политики Active Directory можно назначать на OU, сайт или весь домен. Для того, чтобы новые параметры аудита, заданные в GPO, были применены на рабочих станциях/серверах Windows необходимо выполнить обновление групповых политик. Настройки групповых политик обновляются в следующих случаях: - перезагрузка устройства и вход пользователя; - автоматически в фоновом режиме раз в 90 минут (+ случайное смещение времени); - вручную с помощью команды gpupdate (на рабочей станции/сервере); - вручную из консоли Group Policy Management Console (на контроллере домена, только для OU); - вручную с помощью командлета Invoke-GPUpdate Powershell (на контроллере домена). - Для проверки успешного применения GPO выполните следующую команду на одной из рабочих станций/сервере: ```powershell auditpol.exe /get /category:* | Select-String -Pattern "Успех" ``` - Убедитесь, что параметры аудита соответствуют скриншоту ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/EBMimage.png) ### Настройка WEC-сервера #### Настройка службы Windows Event Collector (WEC) - Проверьте, что служба WinRM запущена на WEC-сервере с помощью следующей команды в PowerShell: ```powershell Test-WSMan ``` Вывод в случае если служба WinRM запущена: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/gnIimage.png) Если появилось сообщение, что «Клиенту не удается подключиться к узлу назначения, указанному в запросе. Убедитесь, что служба на узле назначения работает и принимает запросы», запустите на WEC-сервере службу WinRM с помощью следующей команды в PowerShell: ```bash winrm qc ``` При применении команды согласитесь с выполнением изменений. После включения службы WinRM WEC-сервер начнет «прослушивать» соединения на порт TCP/5985 от источников событий. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/mt1image.png) Команда winrm qc одновременно включает Windows Remote Shell (WinRS) и разрешает принимать входящие соединения для удаленного управления через функционал WinRS. Отключить WinRS можно следующей командой: ```powershell winrm set winrm/config/Winrs ‘@{AllowRemoteShellAccess = "false"}’ winrm get winrm/config | findstr ‘AllowRemoteShellAccess’ # проверка, что WinRS отключен ``` - Запустите на WEC-сервере службу сборщика событий Windows («Сборщик событий Windows») с помощью следующей команды в PowerShell: ```powershell wecutil qc ``` При включении службы сборщика событий Windows в Windows Firewall автоматически создается разрешающее правило для входящих соединений по TCP/5985. #### Настройка подписки на WEC-сервере Чтобы настроить подписку на WEC-сервере: - Нажмите кнопку **Win**, введите **eventvwr.msc** и запустите **Просмотр событий** от имени администратора. - Выберите **Подписки** → правой кнопкой мыши **Создать подписку** → Укажите имя подписки, например, KUMA WEC и тип подписки **Инициировано исходным компьютером**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/jVTimage.png) - Выберите группу устройств, события которой требуется собирать. В нашем примере – это ранее созданная группа KUMA WEC: нажмите **Выбрать группы компьютеров** → **Добавить доменный компьютер** → в поле **Введите имена выбираемых объектов** укажите ранее созданную группу компьютеров и нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image51.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image52.png) В качестве альтернативы вместо группы компьютеров можно добавить необходимые рабочие станции/серверы по отдельности.Если предполагается сбор событий с контроллера домена, в таком случае, контроллер домена **можно добавить как отдельный доменный компьютер**
[](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/czRimage.png) - Задайте собираемые события: **Выбрать события** → перейдите на вкладку **XML **и установите флажок **Изменить запрос вручную**. - Вставьте в поле следующий фильтр событий: ```xmlРекомендации по настройке аудита событий Windows: [https://kb.kuma-community.ru/books/kuma-how-to/page/poleznye-ssylki-po-ib](https://kb.kuma-community.ru/books/kuma-how-to/page/poleznye-ssylki-po-ib)
- Далее в окне **Свойства подписки** нажмите **Дополнительно** и для параметра **Оптимизация доставки** **событий** укажите **Уменьшенная задержка**. - Нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image55.png)В одну подписку можно добавить **не более 22** уникальных Event ID (кодов событий). Если указать больше, то на стороне источников событий (Журналы приложений и служб/Microsoft/Windows/Eventlog-ForwardingPlugin/Operational) появится ошибка **"Не удается создать подписку <Наименование подписки>. Код ошибки: 5004."**, при этом события от источников перестанут поступать на WEC-сервер. Поэтому, если стоит задача собирать большое количество разных типов событий, в таком случае **создайте несколько подписок**, в каждой из которых будет свой уникальный набор Event ID. Если в подписке не задан фильтр по Event ID, то есть используется значение по умолчанию **"<Все коды событий>"**, ограничение в 22 уникальных Event ID отсутствует и выполняется сбор всех журналируемых событий.
При наличии одинаковых Event ID в разных подписках, события будут дублироваться, как на WEC-сервере, так и в KUMA. Поэтому при создании нескольких подписок проверьте наличие дубликатов Event ID.
[](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/TA1image.png) ### Настройка WinRM и подписки на источниках событий #### Для отдельной рабочей станции/сервера ##### Настройка службы WinRM - Проверьте наличие запущенной службы WinRM на рабочей станции/сервере с помощью следующей команды в PowerShell: ```powershell Test-WSMan ``` Вывод в случае, если служба WinRM запущена: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/4Veimage.png) Если появилось сообщение, что «Клиенту не удается подключиться к узлу назначения, указанному в запросе. Убедитесь, что служба на узле назначения работает и принимает запросы», запустите на рабочей станции/сервере службу WinRM с помощью следующей команды в PowerShell: ```powershell winrm qc ``` При применении команды согласитесь с выполнением изменений, **кроме** «Служба WinRM не настроена на разрешение удаленного управления компьютером. Разрешите исключение брандмауэра WinRM». [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/Qlyimage.png) После включения службы WinRM рабочая станция/сервер начнет «прослушивать» соединения на порт TCP/5985. Для отключения данного listener’а (т.к. рабочая станция/сервер инициирует соединение к WEC-серверу, выступая в качестве клиента) выполните следующую команду в PowerShell: ```powershell Remove-WSManInstance winrm/config/Listener -SelectorSet @{Address="*";Transport="http"} ``` Команда `winrm qc` одновременно включает Windows Remote Shell (WinRS) и разрешает принимать входящие соединения для удаленного управления через функционал WinRS. Отключить WinRS можно следующей командой: ```powershell winrm set winrm/config/Winrs ‘@{AllowRemoteShellAccess = "false"}’ winrm get winrm/config | findstr ‘AllowRemoteShellAccess’ # проверка, что WinRS отключен ``` На источнике событий требуется предоставить доступ к журналам аудита службе WinRM путем включения встроенной учетной записи **NT AUTHORITY \\ NETWORK SERVICE (SID S-1-5-20)** в локальную группу **BUILTIN \\ Event Log Readers («Читатели журнала событий»):** - Нажмите кнопку **Win** → введите **lusrmgr.msc** и запустите **Локальные пользователи и группы** от имени администратора. - В появившемся окне перейдите в **Группы**, выберите группу **Читатели журнала событий** и нажмите правой кнопкой мыши **Свойства**. - В свойствах группы нажмите **Добавить**, в **Размещение** выберите имя рабочей станции и в поле **Введите имена выбираемых объектов** укажите **NETWORK SERVICE.** - После ввода УЗ нажмите **Проверить имена**. - Как только УЗ будет найдена нажмите **ОК**. - В окне свойств группы нажмите еще раз **ОК** для применения изменений группы. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image57.png)Для сбора событий журнала Security с контроллера домена необходимо предоставить доступ к журналу встроенной учетной записи NT AUTHORITY \\ NETWORK SERVICE (SID S-1-5-20), из-под которой запускается сервис WinRM. Для этого на контроллере домена в PowerShell выполните следующую команду: wevtutil sl security /ca:'O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)'
##### Настройка подписки Чтобы настроить подписку: - Нажмите кнопку **Win**, введите **Политики** и запустите **Изменение групповой политики** от имени администратора. - В появившемся окне перейдите в **Конфигурация компьютера** → **Административные шаблоны** → **Компоненты Windows** → **Пересылка событий** → **Настроить конечный диспетчер подписки**. - Выберите **Включено** и нажмите **Показать**. - В появившемся окне введите параметры WEC-сервера: ``` Server=http://Microsoft рекомендует настраивать параметр **Refresh** в зависимости от частоты внесения изменений в подписки. Если подписки изменяются нечасто, для параметра **Refresh** можно установить значение в несколько часов, например, Refresh=43200 (обновление раз в 12 часов).
Источники событий должны иметь возможность «резолвить» FQDN WEC-сервера для отправки событий. Для этого создайте A-запись на DNS-сервере или создайте запись локально в файле hosts
[](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image58.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image59.png) - После применения данной настройки перезапустите службу WinRM c помощью PowerShell-команды: ```powershell Restart-Service -Name WinRM ``` #### Для группы рабочих станций/серверов средствами GPO ##### Настройка службы WinRM При наличии опыта администрирования Windows инфраструктуры вы можете использовать наиболее привычный для Вас способ настройки. Ниже описан один из вариантов. Чтобы настроить службу WinRM для группы рабочих станций/серверов средствами GPO: - На контроллере домена запустите оснастку **Управление групповой политикой**: нажмите **Win + R** → **gpmc.msc.** - Выберите ранее использовавшийся объект групповой политики **Audit Policy for KUMA** и нажмите **Изменить.** [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/s6Iimage.png) - В открывшемся **Редакторе управления групповыми политиками** перейдите в **Конфигурация компьютера** → **Конфигурация Windows** → **Параметры безопасности** → **Системные службы** → в списке служб найдите **«Служба удаленного управления Windows (WS-Management)»** → **Свойства** и укажите параметры согласно скриншоту ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/TJLimage.png) - Нажмите **Применить** и **ОК**. - Далее перейдите в **Конфигурация компьютера → Настройка → Параметры панели управления → Службы → **справа в окне нажмите **Создать** **→ Службы →** укажите параметры согласно скриншоту ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/eZfimage.png) - Перейдите во вкладку **Восстановление** и укажите параметры согласно скриншоту ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/JxRimage.png) - Нажмите **Применить** и **ОК**. - Перейдите в **Конфигурация компьютера** → **Политики** → **Административные шаблоны** → **Компоненты Windows** → **Удаленное управление Windows** → **Служба удаленного управления Windows** → выберите **Разрешить удаленное администрирование сервера средствами WinRM** и укажите параметры согласно скриншоту ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/m4Qimage.png) - Перейдите в **Конфигурация компьютера** → **Политики** → **Административные шаблоны** → **Компоненты Windows** → **Удаленная оболочка Windows** → выберите **Разрешить доступ к удаленной оболочке** и укажите параметры согласно скриншоту ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/p2Zimage.png) Также на источниках событий требуется предоставить доступ к журналам аудита службе WinRM путем включения встроенной учетной записи **NT AUTHORITY \\ NETWORK SERVICE (SID S-1-5-20)** в локальную группу **BUILTIN \\ Event Log Readers («Читатели журнала событий»):** - Выберите ранее использовавшийся объект групповой политики **Audit** **Policy** **for** **KUMA** и нажмите **Изменить**. - В открывшемся **Редакторе управления групповыми политиками** перейдите в **Конфигурация компьютера** → **Настройка** → **Параметры панели управления** → нажмите правой кнопкой мыши на **Локальные пользователи и группы** → **Создать** → **Локальная группа**. В появившемся окне укажите параметры согласно скриншоту ниже.При добавлении члена локальной группы введите NETWORK SERVICE и нажмите ОК.
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/FPMimage.png) - Нажмите **Применить** и **ОК**. Для того, чтобы новые параметры групповой политики **Audit Policy** **for KUMA** были применены на рабочих станциях/серверах Windows необходимо выполнить обновление групповых политик. Настройки групповых политик обновляются в следующих случаях: - перезагрузка устройства и вход пользователя - автоматически в фоновом режиме раз в 90 минут (+ случайное смещение времени) - вручную с помощью команды gpupdate (на рабочей станции/сервере) - вручную из консоли Group Policy Management Console (на контроллере домена, только для GPO) - вручную с помощью командлета Invoke-GPUpdate Powershell (на контроллере домена) Проверьте наличие запущенной службы WinRM на одной из рабочих станций/сервере с помощью следующей команды в PowerShell: ```powershell Test-WSMan ``` Вывод в случае, если служба WinRM запущена: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/DKKimage.png) Убедитесь, что WinRS отключен с помощью следующей команды: ```powershell winrm get winrm/config | findstr ‘AllowRemoteShellAccess’ ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/Qvbimage.png) Убедитесь, что порт TCP/5985 не «прослушивается» (т.к. рабочая станция/сервер инициирует соединение к WEC-серверу, выступая в качестве клиента): ```shell netstat -aon -p TCP # выполнить в cmd ```Для сбора событий журнала Security с контроллера домена необходимо предоставить доступ к журналу встроенной учетной записи NT AUTHORITY \\ NETWORK SERVICE (SID S-1-5-20), из-под которой запускается сервис WinRM. Для этого на контроллере домена в PowerShell выполните следующую команду: wevtutil sl security /ca:'O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)'
##### Настройка подписки Чтобы настроить подписку для группы рабочих станций/серверов средствами GPO: - На контроллере домена запустите оснастку **Управление групповой политикой: **нажмите **Win + R** → **gpmc.msc**. - Выберите ранее использовавшийся объект групповой политики **Audit**** Policy for KUMA** и нажмите **Изменить**. - В открывшемся **Редакторе управления групповыми политиками** перейдите в **Конфигурация компьютера** → **Политики** → **Административные шаблоны** → **Компоненты** **Windows** → **Пересылка событий** → **Настроить конечный диспетчер подписки**. - Выберите **Включено** и нажмите **Показать**. - В появившемся окне введите параметры WEC-сервера: ``` Server=http://Microsoft рекомендует настраивать параметр **Refresh** в зависимости от частоты внесения изменений в подписки. Если подписки изменяются нечасто, для параметра **Refresh** можно установить значение в несколько часов, например, Refresh=43200 (обновление раз в 12 часов).
Источники событий должны иметь возможность «резолвить» FQDN WEC-сервера для отправки событий. Для этого создайте A-запись на DNS-сервере или создайте запись локально в файле hosts
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/NVcimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/KYsimage.png) Для того, чтобы новые параметры групповой политики **Audit Policy** **for KUMA** были применены на рабочих станциях/серверах Windows необходимо выполнить обновление групповых политик. Настройки групповых политик обновляются в следующих случаях: - перезагрузка устройства и вход пользователя - автоматически в фоновом режиме раз в 90 минут (+ случайное смещение времени) - вручную с помощью команды gpupdate (на рабочей станции/сервере) - вручную из консоли Group Policy Management Console (на контроллере домена, только для OU) - вручную с помощью командлета Invoke-GPUpdate Powershell (на контроллере домена) ### Проверка поступления событий Убедитесь, что на WEC-сервер поступают события с рабочих станций/серверов: - На WEC-сервере нажмите кнопку **Win**, введите **eventvwr.msc** и запустите **Просмотр событий **от имени администратора. - Перейдите в **Журналы Windows → Перенаправленные события. **Если в появившемся окне **Перенаправленные события **отображаются события с источников, значит подписка работает корректно. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/YXQimage.png)Для MS Server 2016 и 2019 в случае если события не пересылаются, выполнить шаги по **[этой инструкции](https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/admin-development/events-not-forwarded-by-windows-server-collector)**. При добавлении разрешения для URL-адреса с помощью **netsh http add urlacl** добавьте кавычки "..." в параметре SDDL: `netsh http delete urlacl url=http://+:5985/wsman/netsh http add urlacl url=http://+:5985/wsman/ sddl="D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)"netsh http delete urlacl url=https://+:5986/wsman/netsh http add urlacl url=https://+:5986/wsman/ sddl="D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)"`
В случае если события определенного журнала не отправляются с источника событий проверьте на данном источнике в журнале Microsoft/Windows/Event\_forwardingPlugin/Operational наличие событий с кодом 5004 (ошибка отправки журналов на WEC-сервер). При наличии событий с кодом 5004 выполните рекомендации из статьи: [https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/system-management-components/security-event-log-forwarding-fails-error-0x138c-5004](https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/system-management-components/security-event-log-forwarding-fails-error-0x138c-5004)
--- ### Настройка коллектора и агента KUMA #### Создание коллектора KUMA Для создания коллектора в веб-интерфейсе KUMA: - Перейдите в раздел **Ресурсы** и нажмите на кнопку **Подключить источник**. - В появившемся окне мастера настройки **Создание коллектора** на первом шаге (**Подключение источников**) выберите **Имя коллектора** и **Тенант**, к которому будет принадлежать создаваемый коллектор. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image70.png) - На втором шаге мастера (**Транспорт**) укажите параметры коннектора для взаимодействия с агентом. В данном случае рекомендуется использовать http. В поле URL задайте FQDN/порт (порт, на котором коллектор будет ожидать входящие подключения от агента. Выбирается любой из незанятых, выше 1024). В данном примере будет использоваться 5151. В качестве разделителя укажите **\\0.**В поле URL можно указать только порт при инсталляции All-in-one.
[](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image71.png) На вкладке **Дополнительные параметры** для шифрования передаваемых данных между агентом и коллектором выберите **Режим TLS - С верификацией**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image72.png) - На третьем шаге мастера укажите нормализатор. В данном случае рекомендуется использовать «коробочный» нормализатор **\[OOTB\] Microsoft Products for KUMA 3**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image73.png) - Шаги мастера настройки с четвертого по шестой являются опциональными, их можно пропустить и вернуться к настройке позднее. - На седьмом шаге мастера задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище**. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа **Коррелятор**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image74.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/OcHimage75.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/ToGimage76.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image77.png) - На завершающем шаге мастера нажмите на кнопку **Создать и сохранить сервис**. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image78.png) - Нажмите **Сохранить**. - После выполнения вышеуказанных действий в разделе **Ресурсы** → **Активные сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image79.png) #### Установка коллектора KUMA Чтобы установить коллектор KUMA: - Выполните подключение к CLI сервера, на котором планируется развертывание коллектора KUMA. - Для установки сервиса коллектора в командной строке выполните команду под учетной записью root, скопированную на прошлом шаге. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image80.png) - При необходимости добавьте используемый порт сервиса коллектора в исключения МЭ ОС и обновите параметры службы. ```bash # Пример для firewalld firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp|udp –permanent firewall-cmd –reload # Пример для ufw ufw allow <порт, выбранный для коллектора>/tcp|udp ufw reload ``` - После успешной установки сервиса его статус в веб-консоли KUMA изменится на ВКЛ с **зеленой индикацией**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image81.png) #### Создание сервисной учетной записи Для функционирования агента KUMA предварительно необходимо создать доменную сервисную учетную запись, с помощью которой будет выполняться запуск службы агента KUMA и обеспечиваться доступ к журналам событий, полученных от рабочих станций/серверов Windows (журнал Forwarded Events). [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image82.png)В качестве более безопасной альтернативы обычной пользовательской учетной записи **рекомендуется** использование управляемой учетной записи службы (MSA). См. Приложение А. Использование Managed Service Accounts (MSA)**
#### Добавление сервисной учетной записи в группу "Читатели журнала событий" Для доступа агента KUMA к журналу Forwarded Events добавьте созданную сервисную учетную запись в локальную группу **Читатели журнала событий** на WEC-сервере. Чтобы добавить учетную запись в локальную группу **Читатели журнала событий**: - Нажмите кнопку **Win**. - Введите **lusrmgr.msc** и запустите **Локальные пользователи и группы** от имени администратора. - В появившемся окне перейдите в **Группы**, выберите группу **Читатели журнала событий** и нажмите правой кнопкой мыши **Свойства**. - В свойствах группы нажмите **Добавить** и в поле **Введите имена выбираемых объектов** укажите <имя созданной сервисной учетной записи>. - После ввода УЗ нажмите **Проверить имена**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image83.png) - Как только УЗ будет найдена нажмите **ОК**. - В окне свойств группы нажмите еще раз **ОК** для применения изменений группы. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image84.png) #### Назначение прав входа в качестве службы Разрешите сервисной учетной записи вход в качестве службы (Log on as a service) на WEC-сервере. Это необходимо, чтобы учетная запись могла использоваться для запуска и работы служб (сервисов). В данном случае для запуска и работы службы агента KUMA. Чтобы разрешить учетной записи вход в качестве службы: - Нажмите кнопку **Win**, введите **secpol.msc** и запустите **Локальная политика безопасности** от имени администратора. - В появившемся окне перейдите в **Локальные политики** → **Назначение прав пользователя**, выберите политику В**ход в качестве службы** и нажмите правой кнопкой мыши **Свойства**. - В свойствах политики нажмите **Добавить пользователя или группу** и в поле **Введите имена выбираемых объектов** укажите <имя созданной сервисной учетной записи>. - После ввода УЗ нажмите **Проверить имена**. - Как только УЗ будет найдена нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image85.png) - В окне свойств политики нажмите еще раз **ОК** для применения изменений группы. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image86.png) Дополнительно убедитесь, что соответствующая сервисная учетная запись отсутствует в свойствах политики Отказать во входе в качестве службы. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image87.png) #### Создание ресурса агента KUMA Для создания ресурса агента в веб-интерфейсе KUMA: - Перейдите на вкладку **Ресурсы** → **Агенты** и нажмите на кнопку **Добавить агент**. - В окне **Создание агента** на вкладке **Общие параметры** укажите **Имя агента** и **Тенант**, которому он будет принадлежать. В поле **Описание** можно добавить описание сервиса. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image88.png) - Перейдите на вкладку **Подключение 1** и укажите следующие параметры: - В блоке параметров Коннектор укажите: - **Название** коннектора - **Тип** – WEC - **Журналы Windows** – ForwardedEvents [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image89.png) - В блоке параметров **Точки назначения** укажите параметры точки назначения: - В поле **Название** укажите имя точки назначения (в качестве точки назначения для агента будет выступать ранее созданный коллектор). - В раскрывающемся списке **Тип** выберите тип точки назначения (в нашем примере **http** по аналогии с созданным коллектором). - **URL** сервиса коллектора, который будет обрабатывать события, собранные агентом KUMA. URL созданного коллектора см. в **Разделе Создание коллектора KUMA.** Доступные форматы URL: <имя хоста>:<номер порта>; <IPv4-адрес>:<номер порта>; <IPv6-адрес><номер порта>. При необходимости можно добавить несколько URL для балансировки нагрузки или обеспечения отказоустойчивости. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image90.png) - Перейдите на вкладку **Дополнительные параметры** и для шифрования передаваемых данных между агентом и коллектором выберите **Режим TLS - С верификацией**. Также укажите в качестве Разделителя **/0.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image91.png)Дополнительные параметры точки назначения (например, Разделитель и режим TLS) должны совпадать с дополнительными параметрами коллектора, с которым вы хотите связать агент.
Точек назначения может быть несколько. Их можно добавить с помощью кнопки **Добавить точку назначения**. - Нажмите **Создать** для создания ресурса агента. #### Публикация агента KUMA Когда ресурс агента создан, можно перейти к созданию сервиса агента в KUMA. Чтобы создать сервис агента в веб-интерфейсе KUMA: - В веб-интерфейсе KUMA в разделе **Ресурсы** → **Активные сервисы** нажмите **Добавить**. - В появившемся окне **Выберите сервис** выберите только что созданный ресурс агента и нажмите **Создать сервис**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image92.png) - Сервис агента создан в веб-интерфейсе KUMA и отображается в разделе **Ресурсы** → **Активные сервисы**. Теперь сервис агента необходимо установить на WEC-сервере для сбора событий Windows. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image93.png) - После публикации агента скопируйте идентификатор сервиса для последующей установки сервиса (службы) агента на WEC-сервере. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image94.png) #### Установка агента KUMA Перед установкой агента KUMA убедитесь, что для WEC-сервера, где предполагается установка, открыты следующие сетевые доступы: - Порт TCP/7210 к Ядру KUMA. - К Коллектору KUMA, предназначенного для приема и обработки событий Windows. Порт и протокол, указанные при создании Коллектора (см. Раздел Создание коллектора KUMA). Также убедитесь, что на WEC-сервере, где предполагается установка агента KUMA, «резолвится» DNS-имя сервера KUMA (для распределенной инсталляции DNS-имя сервера Ядра и сервера коллектора KUMA). При необходимости добавьте соответствующие записи в файл hosts на WEC-сервере, либо создайте A-записи на DNS-сервере организации. Чтобы установить агент KUMA на WEC-сервер: - Скопируйте файл **kuma.exe** в папку на WEC-сервере. Для установки рекомендуется использовать папку C:\\Users\\<имя пользователя>\\Desktop\\KUMA. Файл **kuma.exe** находится внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image95.png) - Запустите командную строку на WEC-сервере с правами администратора и перейдите в папку с файлом kuma.exe. - Выполните следующую команду: ```cmd kuma agent --core https://<полное доменное имя сервера ядра KUMA>:<порт, используемый сервером ядра KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса агента, созданного в KUMA> --user <имя пользователя, под которым будет работать агент, включая домен, в формате domain\username> --install ``` Пример: kuma agent --core https://kuma.example.com:7210 --id XXXXX --user domain\\username –install [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image96.png)Если агент устанавливается из-под доменной учетной записи пользователь указывается в формате <домен>\\<имя учетной записи>, например, demo\\user
- Для запуска агента требуется подтверждение лицензионного соглашения. В процессе установки вам будет предложено ознакомиться с текстом лицензионного соглашения и у вас будет возможность принять соглашение или отказаться. Если этого не произошло автоматически, вы можете воспользоваться следующей командой, чтобы ознакомиться с текстом лицензионного соглашения: ``` kuma.exe license --show ``` Если вы хотите принять лицензионное соглашение, выполните команду и нажмите y: ``` kuma.exe license ``` - Введите пароль пользователя, под которым будет работать служба агента. - В процессе установки будет создана папка C:\\ProgramData\\Kaspersky Lab\\KUMA\\agent\\<идентификатор агента>, в которую будет установлен сервис агента KUMA. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image97.png) После установки сервис (служба) агента запускается автоматически. Сервис также настроен на перезапуск в случае сбоев. Агент можно перезапустить из веб-интерфейса KUMA, но только когда сервис активен. В противном случае сервис требуется перезапустить вручную на устройстве Windows. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image98.png) Далее перейдите в веб-интерфейс KUMA и убедитесь в успешности запуска агента - статус сервиса агента KUMA WEC должен измениться на ВКЛ с **зеленой индикацией**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image99.png) Чтобы удалить агент KUMA с WEC-сервера по окончании тестирования продукта: - Запустите командную строку на WEC-сервере с правами администратора и найдите папку с файлом kuma.exe. - Выполните команду ниже: ``` kuma.exe agent --id <идентификатор сервиса агента, созданного в KUMA> --uninstall ``` ### Проверка поступления событий Windows в KUMA - Для проверки, что сбор событий Windows успешно настроен перейдите в **Ресурсы** → **Активные сервисы** → выберите ранее созданный коллектор для событий Windows и нажмите **Перейти к событиям**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image100.png) - В открывшемся окне **События** убедитесь, что присутствуют события с устройств Windows. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/image101.png) --- ### Приложение А. Использование Managed Service Accounts (MSA) **Управляемые учетные записи служб (Managed Service Accounts – MSA)** - это специальный тип учетных записей служб в Active Directory (AD), предназначенный для повышения безопасности и упрощения администрирования. Создаваемая учетная запись службы (MSA) ассоциируется с определенным сервером. Эта учетная запись имеет автоматически генерируемый сложный пароль (120 символов) и поддерживается устройством без ручного вмешательства. Таким образом, MSA обеспечивает безопасный и удобный способ запуска служб на устройствах Windows. Обычные сервисные учетные записи, которые используются для запуска служб (например, `DOMAIN\ServiceAccount`) создают административные сложности: 1. **Ручное управление паролями:** Администратор должен регулярно вручную менять пароль, а затем обновлять его в настройках службы на всех серверах, где она работает. Это трудоемко и чревато простоями, если пароль не сменить вовремя. 2. **Риск безопасности:** Часто администраторы устанавливают для таких учетных записей сложные пароли и никогда их не меняют, что создает угрозу безопасности. 3. **Принцип одного сервера:** Одна учетная запись не должна использоваться на нескольких серверах одновременно по соображениям безопасности (сложность аудита и отзыва). **Основные особенности MSA:** - **Автоматическое управление паролями:** Система сама генерирует очень сложный случайный пароль (120 символов) и регулярно его меняет (по умолчанию каждые 30 дней). Вам никогда не нужно его знать или вводить. - **Привязка к одному компьютеру:** Один MSA может быть привязан только к *одному* серверу (компьютеру) в домене. Это обеспечивает изоляцию служб. - **Упрощенное администрирование:** Вы просто указываете службе использовать MSA, и система сама на периодической основе обновляет пароль. - **Нельзя использовать для интерактивного входа:** Эту учетную запись нельзя использовать для входа в систему по RDP или в консоли сервера. **Типы MSA:** - **Standalone Managed Service Account (sMSA)** – работает только на одном сервере. - **Group Managed Service Account (gMSA)** – может использоваться на нескольких серверах в домене (например, в кластере или ферме). **Настройка sMSA** Предварительные требования: - ОС Windows Server 2008 R2 / Windows 7 или выше. - Требования к функциональному уровню домена: Минимальный уровень — Windows Server 2008 R2. - Наличие powershell-модуля ActiveDirectory Шаги по настройке: **Действия на контроллере домена** - Запустите PowerShell и выполните команду для создания sMSA: ```powershell New-ADServiceAccount -Name "Имя sMSA" -Description "Описание учетной записи" -Enabled $true -RestrictToSingleComputer ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/qS7image.png) - Привяжите sMSA к WEC-серверу: ```powershell $Identity = Get-ADComputer -identity "Имя WEC-сервера" ``` ```powershell Add-ADComputerServiceAccount -Identity $identity -ServiceAccount "Имя sMSA" ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/RZzimage.png) - Убедитесь, что привязка sMSA к WEC-серверу выполнена успешно: ```Powershell Get-ADComputer -Identity "Имя WEC-сервера" -Properties msDS-HostServiceAccount ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/dmqimage.png) После создания учетная запись появится в контейнере `Managed Service Accounts` вашего домена. Чтобы увидеть его в оснастке **"Пользователи и компьютеры Active Directory" (ADUC)**, необходимо включить просмотр **расширенных функций** (View -> Advanced Features). [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/nBYimage.png) **Действия на WEC-сервере** sMSA должен быть "установлен" на сервере, где он будет использоваться. Это сообщает системе, что данный сервер имеет право использовать эту управляемую учетную запись. - Запустите PowerShell с правами администратора и выполните команду для установки модуля Active Directory: ```powershell Add-WindowsFeature RSAT-AD-PowerShell ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/J7zimage.png) - Выполните установку sMSA с использованием доменной учетной записи с соответствующими правами (в данном примере использовалась учетная запись с правами администратора домена): ```powershell Install-ADServiceAccount -Identity "Имя_sMSA" ``` - Убедитесь, что sMSA успешно установлен: ```powershell Test-ADServiceAccount -Identity "Имя_sMSA" ``` Если команда выполняется без ошибок, значит sMSA успешно установлен на сервере. Результат в случае успеха: `True` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/SlJimage.png) - Назначьте sMSA права **Входа в качестве службы (Log on as a service)** и добавьте в группу **Читатели журнала событий (Event Log Readers)**При установке через `Install-ADServiceAccount` права **Вход в качестве службы (Log on as a service)** назначаются автоматически
```powershell Add-LocalGroupMember -Group "Event Log Readers" -Member "UserName" ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/wfKimage.png) - Выполните установку агента KUMA, указав в качестве пользователя учетную запись sMSA в формате `DOMAIN\sMSA_Name$` (см. раздел **Установка агента KUMA**).Оставьте поле **User password** пустым
[](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/lUPimage.png) **Полезные ссылки** [https://techcommunity.microsoft.com/blog/askds/managed-service-accounts-understanding-implementing-best-practices-and-troublesh/397009](https://techcommunity.microsoft.com/blog/askds/managed-service-accounts-understanding-implementing-best-practices-and-troublesh/397009) --- ### Приложение B. Отказоустойчивый сбор событий с WEC-серверомИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
При настройке подписки WEC через графический интерфейс не получится выбрать нужные для сбора журналы, если на сервере с WEC не установлены соответствующие роли Windows Server или ПО. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/dcwec.png) Чтобы выбрать журналы, которые фактически присутствуют на удаленном сервере, но не доступны для выбора на WEC, можно воспользоваться XML фильтром. Ниже приведен пример XML фильтра для сбора событий из стандартного журнала Security, а также из журнала, который присущ только контроллеру домена - Directory Service. ```xmlПоддерживается в KUMA с версии 3.2
Расширенное ведение журнала DNS и диагностика доступны по умолчанию с версии Windows Server 2016. Эта функция также доступна в Windows Server 2012 R2 при установке исправления для ведения журнала запросов и аудита изменений, доступного по адресу [https://support.microsoft.com/kb/2956577](https://support.microsoft.com/kb/2956577)
Event Tracing for Windows (ETW) - это механизм логирования различных событий, создаваемых приложениями и драйверами. Фактически является более расширенной версией стандартного журнала событий. Исторически ETW использовался для задач дебага при разработке, сейчас его можно использовать в том числе и для поиска вредоносной активности. Включение опции логирования ETW оказывает незначительное влияние на производительность (рекомендуется в нагруженных системах). Например, DNS-сервер, работающий на современном оборудовании и получающий 100 000 запросов в секунду (QPS), может испытывать снижение производительности на 5 % при включении аналитических журналов. Очевидного влияния на производительность при скорости запроса 50 000 QPS и ниже не наблюдается. Однако всегда желательно отслеживать производительность DNS-сервера всякий раз, когда включено дополнительное ведение журнала. ### Теория ETW состоит из трёх отдельных компонентов: - Провайдеры (Providers), в некоторых случаях зовутся поставщиками - Потребители (Consumers) - Контроллеры (Controllers) Провайдеры генерируют события, потребители их используют, а контроллеры управляют всей этой деятельностью. Провайдеры - это приложения, которые содержат функционал отправки событий в ETW. Примеры провайдеров: ядро Windows, драйвера устройств, user-mode приложения и другое ПО. Какие необходимо отправлять события решает разработчик в своём коде, упрощенно говоря, если выполняется важная с точки зрения разработчика функция (открывается доступ к SAM), то создается запись в ETW. Для отправки провайдеры регистрируются в контроллере, контроллер в свою очередь может включить или отключить источник событий. Отключенный источник события не генерирует. Пример контроллеров - это logman или wevtutil. Для связи между провайдером и потребителем контроллер использует так называемые сессии трассировки. Сессия служит в том числе для фильтрации необходимых данных по различными параметрам, потому что потребителю может быть нужна только одна часть информации, а другому потребителю - другая. Полезные ссылки: - [https://habr.com/ru/articles/502362/](https://habr.com/ru/articles/502362/) - [https://learn.microsoft.com/ru-ru/archive/blogs/teamdhcp/network-forensics-with-windows-dns-analytical-logging](https://learn.microsoft.com/ru-ru/archive/blogs/teamdhcp/network-forensics-with-windows-dns-analytical-logging) ### Настройка на стороне Windows Переходим в **EventViewer** (Выполнить -> eventvwr.msc). Далее переходим в **Журналы приложений и служб\\Microsoft\\Windows\\DNS-Server** (на англ. Applications and Services Logs\\Microsoft\\Windows\\DNS-Server)  Далее переходим в свойства Аналитического журнала:  Оставляем максимальный размер журнала по умолчнию в 1 Гб:  Нажимаем на **чекбокс Включить** ведение журнала, затем **ОК**  Должно получиться следующее:  Нажимаем **Применить** и **ОК**. При появлении следующего окна, не пугаемся, при **включенной ротации аналитического журнала события не отображаются в интерфейсе**, чтобы их увидеть (нам это не понадобится) нужно остановить журнал.   Далее необходимо перейти в **Управление компьютером** и открыть его от Админиcтратора. Переходим **Служебные программы - Производительность - Сеансы отслеживания событий запуска (perfmon.msc).**  Создаем группу сборщиков данных:  Задаем имя сборщика, например etwDNS-Analytics: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-06/unXimage.png) Добавляем поставщика **Microsoft-Windows-DNSServer**: Агент с коннектором ETW работает только с System.Provider.Guid: {EB79061A-A566-4698-9119-3ED2807060E7} - Microsoft-Windows-DNSServer
Нажимаем **Далее - Далее - Готово**. В сеансах отслеживания событий, в свойствах - **Сеансы отслеживания** указываем **Режим реального времени** [](https://kb.kuma-community.ru/uploads/images/gallery/2024-06/At5image.png) Нажимаем **Применить** и **ОК**. Запускаем созданного поставщика, как сеанс отслеживания событий: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-06/jWximage.png) Для персистентности режима реального времени, в редакторе реестра (regedit.exe) по пути `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger` далее название ранее созданного сеанса в ключе LogFileMode установите значение 100. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/RFCimage.png) Чтобы просмотреть, какие типы событий можно отслеживать, выполните следующую команду в командной строке powershell: ```powershell logman query providers "Microsoft-Windows-DNSServer" ``` Пример вывода: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/YfUimage.png) ### Настройка коллектора и агента KUMA #### Создание коллектора KUMA Для создания коллектора в веб-интерфейсе KUMA перейдите на вкладку **Ресурсы** **->** **Коллекторы** и нажмите на кнопку **Добавить коллектор.** После выполнения вышеуказанных действий откроется мастер настройки. На первом шаге выберите **Имя коллектора** и **Тенант**, к которому будет принадлежать создаваемый коллектор.  На втором шаге мастера укажите транспорт. В нашем случае используется TCP (можно также использовать http и режимы с верификацией для защищенной отправки). В поле URL задайте FQDN/порт (выбирается любой из незанятых), на котором коллектор будет ожидать соединение от агента. В качестве разделителя укажите \\n.\*можно указать только порт при инсталляции All-in-one.
 На третьем шаге мастера укажите нормализатор. В данном случае рекомендуется использовать предустановленный расширенный нормализатор для событий Windows **\[OOTB\] Microsoft DNS ETW logs json.**  Шаги мастера настройки с четвертого по шестой можно пропустить и вернуться к их настройке позднее. На седьмом шаге мастера задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище**. В случае если предполагается также корреляция по событиям добавьте точку назначения типа **Коррелятор**. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-06/TkNimage.png) На завершающем шаге мастера нажмите на кнопку **Создать и сохранить сервис**. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки.  Также после выполнения вышеуказанных действий на вкладке **Ресурсы** **->** **Активные сервисы** появится созданный сервис коллектора. #### Установка коллектора KUMA Выполните подключение к CLI KUMA (установка коллектора выполняется с правами root). Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/gH5image.png) При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы. ```shell firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent firewall-cmd --reload ``` После успешной установки сервиса его в статус в веб-консоли KUMA изменится на **зеленый**. #### Создание агента KUMA Для создания агента в веб-интерфейсе KUMA перейдите на вкладку **Ресурсы** **->** **Агенты** и нажмите на кнопку **Добавить агент**. В открывшейся вкладке **Общие параметры** укажите **Имя агента** и **Тенант**, к которому он будет принадлежать.  На вкладке **Подключение 1** в параметрах коннектора задайте имя коннектора, тип etw и укажите имя сессии (это имя сборщика созданного на этапе настройки на стороне Windows) в нашем случае это etwDNS-Analytics.  В секции **Точки назначения** укажите имя точки назначения, тип **tcp **(должен совпадать с настройками коллектора). Задайте URL в формате **fqdn:port** (FQDN коллектора и порт, должны совпадать с настройками коллектора).  В дополнительных параметрах укажите размер дискового буфера в 1 Гб.  После настройки дополнительных параметров сохраните созданный ресурс агента. #### Публикация агента KUMA В разделе **Ресурсы** -> **Активные сервисы** опубликуйте созданную конфигурацию Agent ETW. Для этого нажмите **Создать сервис** -> выберите созданный сервис агента Agent ETW и нажмите **Создать сервис.** После публикации сервиса скопируйте его идентификатор нажатием на ПКМ данного сервиса для последующей установки агента на Windows сервере.  ### Установка агента KUMA #### Создание учетной записи Для функционирования агента KUMA необходимо создать либо доменную сервисную учетную запись, либо локальную УЗ с помощью которой будет выполняться запуск агента KUMA и обеспечиваться доступ к чтению аналитического журнала. Для УЗ требуются следующие группы и права: - **Пользователи журналов производительности (Performance Log Users group)** (чтение журнала, настройка в свойствах пользователя); - **Вход в качестве службы (Log on service)** (права на запуск сервиса агента, настройка в политиках безопасности).После запуска сервиса агента можно переключиться на системную локальную учетку (LocalSystem), сделать это можно через Services на Windows. Иногда такое целесообразно при ротации паролей в УЗ.
#### Установка агента KUMA Выполняется на Windows сервере, который обеспечивает прием событий от источников (рабочих станций/серверов). Предварительно FQDN Core KUMA должен быть добавлен в файл hosts на Windows сервере, либо добавлен на DNS-сервере. На Windows сервере рекомендуется создать папку **C:\\Users\\<имя пользователя>\\Desktop\\KUMA.** Далее скопируйте в данную папку исполняемый файл **kuma.exe.** Файл **kuma.exe **находится в архиве пакетов установки KUMA. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/iyiimage.png) Для установки агента KUMA запустите командную строку с правами администратора. Перейдите в папку **C:\\Users\\<имя пользователя>\\Desktop\\KUMA,** примите лицензионное соглашение: `/opt/kaspersky/kuma/kuma.exe license` Запустите установку агента командой: ```shell C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://Если агент устанавливается из-под доменной учетной записи пользователь указывается в формате <домен>\\<имя учетной записи>, например, demo\\user
 Во время установки сервиса система запросит пароль. Введите пароль сервисной доменной учетной записи. В результате, на Windows сервере будет установлен сервис KUMA Windows Agent <Windows Agent ID>. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/HzAimage.png) Если статус агента в веб-интерфейсе KUMA красный, необходимо удостовериться в доступности портов 7210 и порта коллектора Windows по направлению от агента к KUMA Collector. Для удаления сервиса агента KUMA по окончанию тестирования продукта выполните следующую команду: ```shell C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --idИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/3.0.3/ru-RU/239864.htm](https://support.kaspersky.com/help/KUMA/3.0.3/ru-RU/239864.htm "Настройка получения событий Kaspersky Security Center в формате CEF")
### Настройка на стороне Windows. #### Настройка сервиса SNMP В статье рассматривается настройка на ОС Windows XP. Перейдите в **Панель управления - Установка и удаление программ - Установка компонентов Windows.** Установите Средства управления и наблюдения и провайдер WMI SNMP (если есть). [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/mVuimage.png) Дождитесь завершения установки и перезагрузите компьютер. Убедитесь, что службы SNMP запущена (**Панель управления - Администрирование - Службы**): Служба SNMP (SNMP Service) и Служба ловушек SNMP (SNMP Trap). Если какие-то из перечисленных ниже служб не запущены - Запустите #### Настройка сервиса SNMP Перейдите в **Панель управления - Администрирование - Службы - Служба SNMP (Свойства) - Вкладка Ловушки** [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/1WUimage.png) Добавьте имя сообщества: **public** Адрес назначения ловушек: **<IP\_адрес\_коллектора>** На вкладке Безопасность: - Установите флажок: Посылать ловушку проверки подлинности (Send authentication trap) - В таблице Приемлемые имена сообществ (Accepted community names) добавьте сообщество: public, с правами READ WRITE - Установите флажок: Принимать пакеты SNMP от любого узла (Accept SNMP packets from any hosts) [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/QpGimage.png) Затем Применить и ОК. ### Настройки на стороне KUMA Создайте коллектор со следующим транспортом: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/avNimage.png) В дополнительных параметрах в случае Русской локали в ОС кажите явно кодировку: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/AXgimage.png)В качестве парсера рекомендуем использовать комьюнити нормализатор (предварительно импортируйте его в KUMA, пароль импорта: `q123123Q!`): [**ссылка**](https://box.kaspersky.com/f/276688a467c0420b84d6/)
Задайте маршрут куда отправлять обработанные события коллектором: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/F2Jimage.png) Нажмите сохранить и создать сервис, скопируйте строку установки и выполните ее в консоли SSH.SNMP использует порт **161 UDP** для общих сообщений, для ловушек используется порт **162 UDP**. Для прослушки порта SNMP обновите параметры службы в Linux (предварительно скопируйте ID коллектора), инструкция как настроить прослушку ниже 1024 порта в Linux: [**ссылка**](https://kb.kuma-community.ru/link/55#bkmrk-%D0%A1%D0%BB%D1%83%D1%88%D0%B0%D1%82%D1%8C-%D0%BD%D0%B0-514-%D0%BF%D0%BE%D1%80%D1%82%D1%83)
### Настройка аудита на стороне Windows Нажмите **Пуск - Выполнить** - Введите: **evntwin** [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/Cnjimage.png) - В переключателе Тип конфигурации (Configuration type) выберите особая (Custom), а затем нажмите на кнопку Правка (Edit) - В блоке параметров Источники событий (Event sources) найдите и добавьте с помощью кнопки Добавить (Add) события, которые вы хотите отправить в коллектор KUMA с установленным коннектором SNMP Trap (рекомендуется отправлять все из папки Security) - Нажмите на кнопку Settings, в открывшемся окне установите флажок Не применять глушитель (Don't apply throttle) и нажмите OK - Нажмите Применить (Apply) и ОК ### Генерация тестовых событий на Windows Создайте и удалите тестового пользователя в системе для генерации событий в **Панель управления - Администрирование - Управление компьютером - Локальные пользователи - Папка пользователи**. При корректных настройках в кума должно отобразиться событие: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/3kZimage.png) # Аналог netcat с помощью PowerShell на Windows Часто для проверки поступления события требуется специальные утилиты для отправки тестового сообщения с Windows машины на коллектор, в рамках этой статьи будет представлен скрипт на PowerShell , с помощью которого можно будет отправить тестовое сообщение по IP:PORT по протоколу TCP. Код скрипта: ```powershell Function Send-TCPMessage { Param ( [Parameter(Mandatory=$true, Position=0)] [ValidateNotNullOrEmpty()] [string] $EndPoint , [Parameter(Mandatory=$true, Position=1)] [int] $Port , [Parameter(Mandatory=$true, Position=2)] [string] $Message ) Process { # Setup connection $IP = [System.Net.Dns]::GetHostAddresses($EndPoint) $Address = [System.Net.IPAddress]::Parse($IP) $Socket = New-Object System.Net.Sockets.TCPClient($Address,$Port) # Setup stream wrtier $Stream = $Socket.GetStream() $Writer = New-Object System.IO.StreamWriter($Stream) # Write message to stream $Message | % { $Writer.WriteLine($_) $Writer.Flush() } # Close connection and stream $Stream.Close() $Socket.Close() } } ``` Для отправки тестового сообщения нужно выполнить слледующую команду: ```powershell Send-TCPMessage -Port 5578 -Endpoint 10.68.85.125 -message "KUMA the best SIEM !" ``` Вот как это выглядит в работе: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-10/3piimage.png) На стороне KUMA: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-10/tWeimage.png) # Мониторинг ключей реестра Windows Для мониторинга ключей реестра в KUMA можно использовать стандартные механизмы аудита Windows. Для этого необходимо настроить расширенный аудит на доступ к реестру и определить разделы, операции с ключами которых необходимо мониторить. Данные настройки могут быть выполнены локально на сервере, а также заданы с помощью групповой политики. В статье ниже будет рассказано о локальных настройках. --- ### Настройка политики аудита Запустите cmd.exe из-под учетной записи Администратора и выполните следующую команду: ``` auditpol /set /subcategory:"Реестр" /success:enable /failure:enable ``` Другим вариантом является внесение изменений в локальную политику безопасности. Чтобы выполнить его, откройте редактор Локальной политики безопасности и перейдите в "Параметры безопасности" - "Конфигурация расширенной политики аудита" - "Политики аудита системы" - "Объект локальной групповой политики" - "Доступ к объектам". [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/7M9image.png) Откройте подкатегорию "Аудит реестра" и выставите необходимые значения [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/v6uimage.png) --- ### Настройка аудита раздела реестра Откройте оснастку "Редактор реестра" и перейдите к разделу, аудит которого необходимо настроить [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/MYLimage.png) Нажмите ПКМ на нужном разделе и выберите пункт Разрешения [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/BISimage.png) В открывшемся окне нажмите на кнопку "Дополнительно" [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/ghyimage.png) В новом окне перейдите на вкладку "Аудит" и добавьте необходимое правило аудита раздела. В данном примере настроен аудит полного доступа всех субъектов к текущему разделу и всем его подразделам. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/crDimage.png) Примените выполненные настройки. --- ### Результат В результате выполненных настроек в журнале безопасности (security) Windows будут появляться события в зависимости от настроенного аудита. События, которые могут появляться: \- 4663(S): An attempt was made to access an object. \- 4656(S, F): A handle to an object was requested. \- 4658(S): The handle to an object was closed. \- 4660(S): An object was deleted. \- 4657(S): A registry value was modified. \- 5039(-): A registry key was virtualized. \- 4670(S): Permissions on an object were changed. Как это выглядит в KUMA (на примере события 4657): [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/se8image.png)| [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/Xraimage.png) | [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/dHFimage.png) |
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в онлайн-справке на продукт: [https://support.kaspersky.ru/kuma/3.4/257568](https://support.kaspersky.ru/kuma/3.4/257568)
### --- ### Описание схемы сбора событий Windows с помощью WMI Компоненты схемы: - **Источники событий:** рабочие станции и серверы Windows. - **Агент KUMA** - компонент KUMA, устанавливаемый на выделенный сервер/рабочую станцию. Агент подключается к службе WMI на удаленной рабочей станции/сервере и получает события Windows.Требования к устройствам для установки агентов: [https://support.kaspersky.ru/kuma/3.4/217889](https://support.kaspersky.ru/kuma/3.4/217889)
- **Коллектор KUMA** - компонент KUMA, обеспечивающий прием/нормализацию/агрегацию/фильтрацию событий, полученных от агента KUMA, и их дальнейшую отправку в коррелятор и/или хранилище KUMA. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/d5Bimage.png)Сбор событий с помощью агента WMI рекомендуется использовать в следующих случаях: - Если отсутствует возможность использовать технологию WEF и WEC-сервер для реализации централизованного сбора событий. - Если необходимо выполнить сбор событий с небольшого количества хостов - не более 500 хостов для одного агента KUMA.
--- ### Настройка политики аудита По умолчанию на устройствах Windows аудит событий не осуществляется. #### Настройка политики аудита на отдельной рабочей станции/сервере Чтобы настроить политику аудита на отдельной рабочей станции/сервере: - Запустите оснастку **Локальная политика безопасности**: нажмите кнопку **Win** → введите **secpol.msc** и запустите **Локальная политика безопасности** от имени администратора. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/fmzimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/HWlimage.png) - Перейдите в политику аудита **Локальные политики** → **Политика аудита.** - Настройте параметры аудита согласно скриншоту (при необходимости включите аудит оставшихся политик). [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/eN1image.png)Примеры рекомендованных политик можно найти [**тут**](https://kb.kuma-community.ru/books/kuma-how-to/page/poleznye-ssylki-po-ib)
#### Настройка политики аудита для группы рабочих станций/серверов средствами GPO При наличии опыта администрирования Windows инфраструктуры вы можете использовать наиболее привычный для Вас способ настройки. Ниже описан один из вариантов настройки. Чтобы настроить политику аудита для группы рабочих станций/серверов средствами GPO: - Создайте группу компьютеров средствами **Active Directory – пользователи и компьютеры**, задайте имя группе, например, **KUMA WMI**. Добавьте в данную группу рабочие станции/серверы, с которых предполагается сбор событий. - Для того, чтобы изменения вступили в силу (в данном случае членство в новой группе), выполните перезагрузку устройства. Альтернативным вариантом может быть перевыпуск Kerberos-тикетов для устройства с помощью klist.exe. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/jteimage.png) - На контроллере домена запустите оснастку **Управление групповой политикой**: нажмите **Win + R** → **gpmc.msc**. - Выберите существующий объект групповой политики или создайте новый. В данном примере создается новый объект групповой политики **Audit Policy for KUMA**: ПКМ **Объекты групповой политики** → **Создать** → введите в имени **Audit Policy for KUMA**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/vWIimage.png) - Далее выберите созданный объект групповой политики **Audit Policy for KUMA** и нажмите **Изменить**. - В открывшемся окне **Редактор управления групповыми политиками** перейдите в **Конфигурация компьютера** → **Политики** → **Конфигурация Windows** → **Параметры безопасности** → **Локальные политики** → **Политики аудита** и настройте параметры аудита согласно скриншоту (при необходимости включите аудит оставшихся политик). [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/miVimage.png) - Далее вернитесь в **Управление групповой политикой** → выберите объект групповой политики **Audit Policy for KUMA** → в окне справа **Фильтры безопасности** удалите группу **Прошедшие проверку** и добавьте группу **KUMA WMI.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/y60image.png) - Нажмите ПКМ на домен и выберите **Связать существующий объект групповой политики** → выберите **Audit Policy for KUMA** и нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/Kkjimage.png) - Итоговый вид политики должен выглядеть следующим образом (см. скриншот). [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/TuSimage.png) В целом, групповые политики Active Directory можно назначать на OU, сайт или весь домен. Для того, чтобы новые параметры аудита, заданные в GPO, были применены на рабочих станциях/серверах Windows необходимо выполнить обновление групповых политик. Настройки групповых политик обновляются в следующих случаях: - перезагрузка устройства и вход пользователя; - автоматически в фоновом режиме раз в 90 минут (+ случайное смещение времени); - вручную с помощью команды gpupdate (на рабочей станции/сервере); - вручную из консоли Group Policy Management Console (на контроллере домена, только для OU); - вручную с помощью командлета Invoke-GPUpdate Powershell (на контроллере домена). Для проверки успешного применения GPO запустите оснастку **Локальная политика безопасности** на одной из рабочих станций/сервере: - Нажмите **WIN+R** → введите **secpol.msc** и запустите **Локальная политика безопасности** от имени администратора. - Перейдите в политику аудита **Локальные политики** → **Политика аудита**. - Убедитесь, что параметры аудита соответствуют скриншоту. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/jWoimage.png)Примеры рекомендованных политик можно найти [**тут**](https://kb.kuma-community.ru/books/kuma-how-to/page/poleznye-ssylki-po-ib)
--- ### Настройка служб и брандмауэра #### Настройка служб и брандмауэра на отдельной рабочей станции/сервере Предварительно на рабочей станции/сервере (источнике событий) необходимо убедиться, что службы **Удаленный вызов процедур** и **Сопоставитель конечных точек RPC** запущены. Для этого: - Откройте окно **Выполнить**, нажав комбинацию клавиш **Win+R**. - В открывшемся окне введите запрос **services.msc** и нажмите **OK**. - В окне **Службы** найдите следующие службы: - Удаленный вызов процедур (Remote Procedure Call) - Сопоставитель конечных точек RPC (RPC Endpoint Mapper) - Убедитесь, что в графе **Состояние** у этих служб отображается статус **Выполняется**. Агент KUMA может получать события журналов Windows с помощью WMI RPC, если открыты порты для входящих соединений на рабочей станции/сервере, с которого планируется сбор событий. Чтобы открыть порты для входящих соединений на рабочей станции/сервере (источнике событий): - Откройте окно **Выполнить**, нажав комбинацию клавиш **Win+R**. - В открывшемся окне введите запрос **wf.msc** и нажмите **OK**. - В появившемся окне **Монитор брандмауэра Защитника Windows в режиме повышенной безопасности** перейдите в раздел **Правила для входящих подключений** и в панели **Действия** нажмите **Создать правило.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/u4rimage.png) - Откроется **Мастер создания правила для нового входящего подключения**. - В **Мастере создания правила для нового входящего подключения** на шаге **Тип правила** выберите **Для порта**. - На шаге **Протоколы и порты** в качестве протокола выберите **Протокол TCP**. В поле **Определенные локальные порты** укажите номера портов: - 135 - 445 - 49152-65535 [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/SS4image.png) - На шаге **Действие** выберите **Разрешить подключение** (выбрано по умолчанию). - На шаге **Профиль** снимите флажки **Частный** и **Публичный**. - На шаге **Имя** укажите имя правила для нового входящего подключения и нажмите **Готово**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/lbDimage.png) --- ### Настройка коллектора и агента KUMA Для передачи событий с рабочих станций/серверов Windows в KUMA используется связка агента и коллектора KUMA. Передача данных организована следующим образом: 1. Агент с помощью коннектора WMI подключается к удаленным рабочим станциям/серверам, указанным в конфигурации, и получает события. 2. Агент без предварительной обработки передает события коллектору KUMA, указанному в точке назначения. Можно настроить агент таким образом, чтобы разные журналы отправлялись в разные коллекторы. 3. Коллектор принимает события от агента, выполняет полный цикл обработки события и отправляет обработанные события в точку назначения (Хранилище и/или Коррелятор). Агент KUMA состоит из двух частей: одна часть создается внутри веб-интерфейса KUMA, а вторая устанавливается на рабочей станции/сервере. Создание агента производится в несколько этапов: - Создание набора ресурсов агента в веб-интерфейсе KUMA. - Создание сервиса агента в веб-интерфейсе KUMA. - Установка серверной части агента на сервере, с которого требуется сбор событий или с которого будет осуществляться удаленный доступ для сбора событий с других рабочих станций/серверов. Сервис агента в веб-интерфейсе KUMA создается на основе набора ресурсов для агента, в котором объединяются коннекторы и точки назначения. #### Создание коллектора Для создания коллектора в веб-интерфейсе KUMA: - Перейдите в раздел **Ресурсы** и нажмите на кнопку **Подключить источник**. - В появившемся окне мастера настройки **Создание коллектора** на первом шаге (**Подключение источников**) выберите **Имя коллектора** и **Тенант**, к которому будет принадлежать создаваемый коллектор. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/1dAimage.png) - На втором шаге мастера (**Транспорт**) укажите параметры коннектора для взаимодействия с агентом. В данном случае рекомендуется использовать http. В поле URL задайте FQDN/порт (порт, на котором коллектор будет ожидать входящие подключения от агента. Выбирается любой из незанятых, выше 1024). В данном примере будет использоваться 5156. В качестве разделителя укажите **\\0**.В поле URL можно указать только порт при инсталляции All-in-one.
В версии KUMA 3.4 в качестве типа коннектора можно указать **internal** вместо **http.** Это позволит отправлять служебную информацию о маршруте события, которая будет доступна в карточке события.
[](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/yvrimage.png) - На вкладке **Дополнительные параметры** для шифрования передаваемых данных между агентом и коллектором выберите **Режим TLS - С верификацией**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/tXdimage.png) - На третьем шаге мастера укажите нормализатор. В данном случае рекомендуется использовать «коробочный» нормализатор **\[OOTB\] Microsoft Products for KUMA 3**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/neaimage.png) - Шаги мастера настройки с четвертого по шестой являются опциональными, их можно пропустить и вернуться к настройке позднее. - На седьмом шаге мастера задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище**. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа **Коррелятор**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/CgLimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/srDimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/3Naimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/9BPimage.png) - На завершающем шаге мастера нажмите на кнопку **Создать и сохранить сервис**. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/m1Iimage.png) - Нажмите **Сохранить**. - После выполнения вышеуказанных действий в разделе **Ресурсы** → **Активные сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/F2Pimage.png) #### Установка коллектора Чтобы установить коллектор KUMA: - Выполните подключение к CLI сервера, на котором планируется развертывание коллектора KUMA. - Для установки сервиса коллектора в командной строке выполните команду под учетной записью root, скопированную на прошлом шаге. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/Tmcimage.png) - При необходимости добавьте используемый порт сервиса коллектора в исключения МЭ ОС и обновите параметры службы. ```bash # Пример для firewalld firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp|udp –permanent firewall-cmd –reload # Пример для ufw ufw allow <порт, выбранный для коллектора>/tcp|udp ufw reload ``` - После успешной установки сервиса его статус в веб-консоли KUMA изменится на **ВКЛ** с **зеленой индикацией.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/q4Nimage.png) #### Создание сервисной учетной записи Для функционирования агента KUMA предварительно необходимо создать доменную сервисную учетную запись, с помощью которой будет выполняться запуск службы агента KUMA и обеспечиваться доступ к журналам событий на рабочих станциях и серверах Windows (в нашем примере будет использоваться одна учетная запись). [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/kmfimage.png)Допускается использовать отдельные учетные записи (в том числе локальные) для запуска службы агента KUMA и доступа к журналам событий на рабочих станциях и серверах Windows.
#### Добавление сервисной учетной записи в группу "Читатели журнала событий" Для доступа агента KUMA к журналам событий Windows добавьте созданную сервисную учетную запись в локальную группу **Читатели журнала событий** на каждой рабочей станции/сервере. Чтобы добавить учетную запись в локальную группу **Читатели журнала событий**: - Нажмите кнопку **Win**. - Введите **lusrmgr.msc** и запустите **Локальные пользователи и группы** от имени администратора. - В появившемся окне перейдите в **Группы**, выберите группу **Читатели журнала событий** и нажмите правой кнопкой мыши **Свойства**. - В свойствах группы нажмите **Добавить** и в поле **Введите имена выбираемых объектов** укажите <имя созданной сервисной учетной записи>. - После ввода УЗ нажмите **Проверить имена**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/yk4image.png) - Как только УЗ будет найдена нажмите **ОК**. - В окне свойств группы нажмите еще раз **ОК** для применения изменений группы. #### [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/p4Ximage.png) #### Назначение прав входа в качестве службы **На рабочей станции/сервере, где планируется установка агента KUMA,** разрешите сервисной учетной записи вход в качестве службы (Log on as a service). Это необходимо, чтобы учетная запись могла использоваться для запуска и работы служб (сервисов). В данном случае для запуска и работы службы агента KUMA. Чтобы разрешить учетной записи вход в качестве службы: - Нажмите кнопку **Win**, введите **secpol.msc** и запустите **Локальная политика безопасности** от имени администратора. - В появившемся окне перейдите в **Локальные политики** → **Назначение прав пользователя**, выберите политику **Вход в качестве службы** и нажмите правой кнопкой мыши **Свойства**. - В свойствах политики нажмите **Добавить** пользователя или группу и в поле **Введите имена выбираемых объектов** укажите <имя созданной сервисной учетной записи>. - После ввода УЗ нажмите **Проверить имена.** - Как только УЗ будет найдена нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/tmAimage.png) - В окне свойств политики нажмите еще раз **ОК** для применения изменений группы. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/CRJimage.png) Дополнительно убедитесь, что соответствующая сервисная учетная запись отсутствует в свойствах политики **Отказать во входе в качестве службы.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/Nqjimage.png) #### Создание секрета в KUMA После создания сервисной учетной записи необходимо добавить секрет в веб-интерфейсе KUMA. Этот ресурс будет хранить учетные данные для подключения агента KUMA к рабочим станциям/серверам. Чтобы создать секрет в KUMA выполните следующие действия: - Откройте раздел веб-интерфейса KUMA **Ресурсы** → **Секреты**. Отобразится список доступных секретов. - Нажмите на кнопку **Добавить**, чтобы создать новый секрет. - В появившемся окне **Создание секрета** введите данные секрета: - В поле **Название** укажите имя для добавляемого секрета. - В раскрывающемся списке **Тенант** выберите тенант, которому будет принадлежать создаваемый ресурс. - В раскрывающемся списке **Тип** выберите **credentials**. - В поле **Пользователь** укажите имя созданной сервисной учетной записи.При использовании доменной учетной записи **ДОМЕН УКАЗЫВАТЬ НЕ НУЖНО**. Значение домена для доступа к устройству будет применяться из столбца **Домен** таблицы **Удаленные хосты** (см. Раздел **Создание ресурса агента KUMA**).
- В поле **Пароль** укажите пароль учетной записи. - Нажмите **Создать**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/Dkcimage.png)Из соображений безопасности после сохранения секрета строки, указанные в полях **Пользователь** и **Пароль**, скрываются.
#### Создание ресурса агента KUMA Для создания ресурса агента в веб-интерфейсе KUMA: - Перейдите на вкладку **Ресурсы** → **Агенты** и нажмите на кнопку **Добавить агент**. - В окне **Создание агента** на вкладке **Общие** параметры укажите **Имя агента** и **Тенант**, которому он будет принадлежать. В поле **Описание** можно добавить описание сервиса. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/LSwimage.png) - Перейдите на вкладку **Подключение 1** и укажите следующие параметры: - В блоке параметров **Коннектор** укажите: - **Название** коннектора - **Тип** – WMI - **Учетные данные по умолчанию**, если при подключении к удаленным рабочим станциям/серверам для сбора событий Windows будет использоваться одна сервисная учетная запись. - В блоке параметров **Удаленные хосты** укажите параметры удаленных устройств Windows, с которых требуется собирать события: - **Сервер** – IP-адрес или имя устройства, с которого необходимо собирать события, например wd10. - **Домен** – название домена, в котором расположено устройство. Например, truecompany.local. - **Тип журналов** – название журналов Windows, события которых требуется получить. По умолчанию в этом раскрывающемся списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами. Для этого введите название пользовательских журналов в поле Журналы Windows, после чего нажмите на клавишу **ENTER**. Журналы, доступные по умолчанию: - **Application.** - **ForwardedEvents.** - **Security.** - **System.** - **HardwareEvents.** - **Секрет** – учетные данные для доступа к удаленной рабочей станции/серверу Windows с правами на чтение журналов. Если оставить вариант **По умолчанию** будут использоваться учетные данные из секрета, указанного в поле **Учетные данные, используемые по умолчанию**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/BYzimage.png) - - Вы можете добавить несколько удаленных устройств Windows, нажав на кнопку **Добавить**.В случае если используется локальная УЗ для доступа к журналам удаленной рабочей станции/сервера укажите IP-адрес рабочей станции/сервера в полях **Сервер** и **Домен**.
- В блоке параметров **Точки назначения** укажите параметры точки назначения: - В поле **Название** укажите имя точки назначения (в качестве точки назначения для агента будет выступать ранее созданный коллектор). - В раскрывающемся списке **Тип** выберите тип точки назначения (в нашем примере **http** по аналогии с созданным коллектором). - **URL** сервиса коллектора, который будет обрабатывать события, собранные агентом KUMA. URL созданного коллектора см. в **Разделе Создание коллектора KUMA**. Доступные форматы URL: <имя хоста>:<номер порта>; <IPv4-адрес>:<номер порта>; <IPv6-адрес><номер порта>. При необходимости можно добавить несколько URL для балансировки нагрузки или обеспечения отказоустойчивости. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/tpyimage.png) - Перейдите на вкладку **Дополнительные параметры** и для шифрования передаваемых данных между агентом и коллектором выберите **Режим TLS - С верификацией**. Также укажите в качестве **Разделителя** /0. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-04/uRPimage.png)Дополнительные параметры точки назначения (например, **Разделитель и режим TLS**) должны совпадать с дополнительными параметрами коллектора, с которым вы хотите связать агент.
Точек назначения может быть несколько. Их можно добавить с помощью кнопки **Добавить точку назначения**. - Нажмите **Создать** для создания ресурса агента. #### Публикация агента Когда ресурс агента создан, можно перейти к созданию сервиса агента в KUMA. Чтобы создать сервис агента в веб-интерфейсе KUMA: - В веб-интерфейсе KUMA в разделе **Ресурсы** → **Активные сервисы** нажмите **Добавить**. - В появившемся окне **Выберите сервис** выберите только что созданный ресурс агента и нажмите **Создать сервис**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image.png) - Сервис агента создан в веб-интерфейсе KUMA и отображается в разделе **Ресурсы** → **Активные сервисы**. Теперь сервис агента необходимо установить на рабочей станции/сервере, которая будет использоваться для удаленного сбора событий Windows c других рабочих станций/серверов. **В нашем примере агент KUMA устанавливается на ту же рабочую станцию, с которой предполагается сбор событий.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/iyyimage.png) - После публикации агента скопируйте идентификатор сервиса для последующей установки сервиса (службы) агента на рабочей станции. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/PLMimage.png) #### Установка агента KUMA Перед установкой агента KUMA убедитесь, что для рабочей станции/сервера, где предполагается установка, открыты следующие сетевые доступы: - Порт TCP/7210 к Ядру KUMA. - К Коллектору KUMA, предназначенного для приема и обработки событий Windows. Порт и протокол, указанные при создании Коллектора (см. Раздел Создание коллектора KUMA). Также убедитесь, что на рабочей станции/сервере, где предполагается установка агента KUMA, «резолвится» DNS-имя сервера KUMA (для распределенной инсталляции DNS-имя сервера Ядра и сервера коллектора KUMA). При необходимости добавьте соответствующие записи в файл hosts, либо создайте A-записи на DNS-сервере организации. Чтобы установить агент KUMA на устройство Windows: - Скопируйте файл **kuma.exe** в папку на устройстве Windows. Для установки рекомендуется использовать папку C:\\Users\\<имя пользователя>\\Desktop\\KUMA. Файл kuma.exe находится внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/lLyimage.png) - Запустите командную строку на устройстве Windows с правами администратора и перейдите в папку с файлом kuma.exe. - Выполните следующую команду: ```bash kuma agent --core https://<полное доменное имя сервера ядра KUMA>:<порт, используемый сервером ядра KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса агента, созданного в KUMA> --user <имя пользователя, под которым будет работать агент, включая домен, в формате domain\username> --install ``` Пример: kuma agent --core https://kuma.example.com:7210 --id XXXXX --user domain\\username --install [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/Giaimage.png) - Для запуска агента требуется подтверждение лицензионного соглашения. В процессе установки вам будет предложено ознакомиться с текстом лицензионного соглашения и у вас будет возможность принять соглашение или отказаться. Если этого не произошло автоматически, вы можете воспользоваться следующей командой, чтобы ознакомиться с текстом лицензионного соглашения: ```bash kuma.exe license --show ``` Если вы хотите принять лицензионное соглашение, выполните команду и нажмите **y**: ```bash kuma.exe license ``` - Введите пароль пользователя, под которым будет работать служба агента. - В процессе установки будет создана папка C:\\ProgramData\\Kaspersky Lab\\KUMA\\agent\\<идентификатор агента>, в которую будет установлен сервис агента KUMA. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/k1Zimage.png) После установки сервис (служба) агента запускается автоматически. Сервис также настроен на перезапуск в случае сбоев. Агент можно перезапустить из веб-интерфейса KUMA, но только когда сервис активен. В противном случае сервис требуется перезапустить вручную на устройстве Windows. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/otdimage.png) Далее перейдите в веб-интерфейс KUMA и убедитесь в успешности запуска агента - статус сервиса агента KUMA WMI должен измениться на ВКЛ с **зеленой индикацией**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/Ycuimage.png) Чтобы удалить агент KUMA с устройства Windows по окончании тестирования продукта: - Запустите командную строку на устройстве Windows с правами администратора и перейдите в папку с файлом kuma.exe. - Выполните команду ниже: ```bash kuma.exe agent --id <идентификатор сервиса агента, созданного в KUMA> --uninstall ``` --- ### Проверка поступления событий Windows в KUMA - Для проверки, что сбор событий Windows успешно настроен перейдите в **Ресурсы** → **Активные сервисы** → выберите ранее созданный коллектор для событий Windows и нажмите **Перейти к событиям**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/3zPimage.png) - В открывшемся окне **События** убедитесь, что присутствуют события с устройств Windows. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/8EJimage.png) # Настройка получения событий Windows с помощью Kaspersky Endpoint Security (KES)Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в онлайн-справке на продукт: [https://support.kaspersky.ru/kuma/3.4/280730](https://support.kaspersky.ru/kuma/3.4/280730) [https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm](https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm)
Список передаваемых событий ограничен! Подробнее [Приложение. События журналов Windows, отправляемые в KUMA](https://support.kaspersky.com/KESWin/12.9/ru-RU/282719.htm)
После выполнения настройки KES будет отправлять события с журнала с самой начальной даты (полная перечитка)
В Kaspersky Endpoint Security для Windows, начиная с версии 12.6, появилась возможность отправлять события из журналов Windows в коллектор KUMA. Это позволяет получить в KUMA события из журналов Windows со всех хостов, на которых установлен Kaspersky Endpoint Security для Windows версии 12.6 и выше, без необходимости установки агентов KUMA типа WEC или WMI, развертывания WEC-сервера и создания групповых политик для запуска/конфигурации сервисов Windows. Для того, чтобы настроить сбор событий Windows с помощью Kaspersky Endpoint Security необходимо: - иметь действующую лицензию KUMA. - использовать KSC 14.2 и выше. - использовать KES для Windows 12.6 или выше. Настройка получения событий Windows с помощью Kaspersky Endpoint Security состоит из следующих этапов: - Создание и установка коллектора KUMA для получения событий Windows. - Запрос ключа в технической поддержке KUMA. - Если в предоставленной Вам лицензии не было ключа активации компонента **Интеграции c KUMA**, направьте в техническую поддержку письмо следующего содержания: «У нас приобретена лицензия KUMA и используется KES для Windows версии 12.6. Мы планируем активировать компонент **Интеграции** **c KUMA**. Просим предоставить файл ключа для активации соответствующего функционала». Новым пользователям KUMA не требуется писать запрос в техническую поддержку, поскольку новым пользователям будет предоставлено 2 ключа с лицензиями для KUMA и для активации функционала KES для Windows. В ответ на письмо вам будет предоставлен файл ключа **Kaspersky Endpoint Security для Windows KUMA Integration Add-on**. - Настройка на стороне KSC и KES для Windows 12.6. Файл ключа, активирующий компонент **Интеграции c KUMA**, необходимо импортировать в KSC и распространить по конечным устройствам KES. Также необходимо в политике KES добавить адрес сервера коллектора KUMA и настроить сетевые параметры подключения. - Проверка поступления событий Windows в коллектор KUMA. ### Создание коллектора KUMA Для создания коллектора в веб-интерфейсе KUMA: - Перейдите в раздел **Ресурсы** и нажмите на кнопку **Подключить** **источник**. - В появившемся окне мастера настройки **Создание коллектора** на первом шаге (**Подключение источников**) выберите **Имя** **коллектора** и **Тенант**, к которому будет принадлежать создаваемый коллектор. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image130.png) - На втором шаге мастера (**Транспорт**) укажите параметры коннектора для взаимодействия с подключаемым источником: - **Тип** – tcp/udp. В данном примере выберите tcp. - **URL – FQDN:порт (порт, на котором коллектор будет ожидать входящие подключения. Выбирается любой из незанятых, выше 1024). В данном примере будет использоваться 5155.В поле **URL** можно указать только порт при инсталляции All-in-one.
[](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image131.png) - На третьем шаге мастера укажите нормализатор. В данном случае рекомендуется использовать «коробочный» нормализатор **\[OOTB\] Microsoft Products via KES WIN**.При отсутствии в списке нормализатора **\[OOTB\] Microsoft Products via KES WIN** выполните загрузку нормализатора из репозитория.
[](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image132.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image133.png) - На шаге **Фильтрация событий** нажмите **Добавить фильтр** и выберите фильтр **\[OOTB\] Microsoft Products via KES WIN - Event filter for collector.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image134.png) - Шаги мастера настройки с пятого по шестой являются опциональными, их можно пропустить и вернуться к настройке позднее. - На седьмом шаге мастера задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище**. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа **Коррелятор**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image71.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image72.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image73.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image74.png) - На завершающем шаге мастера нажмите на кнопку **Создать и сохранить сервис**. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image135.png) - Нажмите **Сохранить**. - После выполнения вышеуказанных действий в разделе **Ресурсы → Активные** **сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image136.png) ### Установка коллектора KUMA Чтобы установить коллектор KUMA: - Выполните подключение к CLI сервера, на котором планируется развертывание коллектора KUMA. - Для установки сервиса коллектора в командной строке выполните команду под учетной записью root, скопированную на прошлом шаге. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image137.png) - При необходимости добавьте используемый порт сервиса коллектора в исключения МЭ ОС и обновите параметры службы. - После успешной установки сервиса его статус в веб-консоли KUMA изменится на **ВКЛ** с **зеленой индикацией**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image138.png) ### Настройка KSC и KES Настройка Kaspersky Endpoint Security и Kaspersky Security Center состоит из следующих этапов: - Установка компонента для интеграции c KUMA. Вы можете установить компонент для интеграции с KUMA во время установки или обновления приложения, а также с помощью задачи **Изменение состава компонентов приложения** (данный вариант будет использован в нашем примере). - Активация компонента для интеграции c KUMA. Полученный файл ключа **Kaspersky Endpoint Security для Windows KUMA Integration Add-on**, активирующий функционал отправки событий Windows в коллектор KUMA, импортируется в Kaspersky Security Center и распространяется по конечным устройствам с Kaspersky Endpoint Security. - Подключение к KUMA. В политике для Kaspersky Endpoint Security добавляется адрес сервера KUMA и выполняется настройка сетевых параметров подключения. Чтобы добавить компонент для интеграции с KUMA с помощью задачи **Изменение состава компонентов приложения** в Kaspersky Endpoint Security для Windows: **Kaspersky Security Center Web Console** - Перейдите в раздел **Активы (Устройства)** → **Задачи.** - В **Списке задач** нажмите на кнопку **Добавить**. - Запустится мастер создания задачи. - Настройте параметры задачи: - В раскрывающемся списке **Приложение** выберите используемое приложение Kaspersky Endpoint Security для Windows (в нашем примере 12.8.0). - В раскрывающемся списке **Тип задачи** выберите **Изменение состава компонентов приложения**. - В поле **Название задачи** введите название создаваемой задачи. - В блоке **Устройства, которым будет назначена задача** выберите **Задать адреса устройств вручную или импортировать из списка**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image139.png) - Нажмите на кнопку **Далее**. - В окне **Область действия задачи** нажмите **Добавить** **устройства.** В окне справа **Добавить устройства** выберите **Выбрать устройства, обнаруженные в сети Сервером администрирования.** Укажите тестовое устройство или тестовую группу администрирования для добавления компонента. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image140.png) - Нажмите **Добавить** и затем **Далее**. - В окне **Завершение создания задачи** установите флажок **Открыть окно свойств задачи после ее создания** и нажмите кнопку **Готово**. - В открывшемся окне свойств задачи перейдите на вкладку **Параметры приложения** и в секции **Выбор компонентов для установки** поставьте флажок напротив компонента **Интеграция с** **KUMA**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/K9Yimage141.png)Если используется пароль для удаления продукта - необходимо поставить флажок напротив **Использовать пароль для изменения состава компонентов приложения** и указать пользователя и пароль.
- Нажмите **Сохранить**. Задача добавления компонента интеграции с KUMA создана. Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку **Запустить**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image142.png) ```bash # Пример для firewalld firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp|udp –permanent firewall-cmd –reload # Пример для ufw ufw allow <порт, выбранный для коллектора>/tcp|udp ufw reload ``` Результат выполнения задачи можно посмотреть в свойствах задачи на вкладке **Общие**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image143.png)Для завершения обновления Kaspersky Endpoint Security после добавления нового компонента нужно перезагрузить устройство.
В результате на выбранных устройствах будет установлен компонент **Интеграция с KUMA**. Убедитесь, что компонент был успешно добавлен на устройства. Для этого в локальном интерфейсе Kaspersky Endpoint Security перейдите в раздел **Безопасность**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image144.png)Добавление компонента для интеграции с KUMA с помощью задачи **Изменение состава компонентов приложения** в Консоли администрирования (MMC): [https://support.kaspersky.com/help/KESWin/12.6/ru-RU/181472.htm](https://support.kaspersky.com/help/KESWin/12.6/ru-RU/181472.htm)
Далее необходимо активировать компонент **Интеграция с KUMA** с помощью полученного файла ключа. Чтобы импортировать в Kaspersky Security Center полученный файл ключа: **Kaspersky Security Center Web Console** - Перейдите в раздел **Операции** → **Лицензии "Лаборатории Касперского"**. - Нажмите на кнопку **Добавить**. - Появившемся окне справа выберите вариант **Добавить файл ключа** и нажмите **Выберите файл ключа**. - Укажите полученный файл ключа **Kaspersky Endpoint Security для Windows KUMA Integration Add-on **(имя файла \*.key). В окне появится информация об импортированном ключе. - Нажмите **Сохранить.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image145.png) Файл ключа успешно импортирован в Kaspersky Security Center. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image146.png)Импорт файла ключа в Kaspersky Security Center с помощью консоли администрирования (MMC): [https://support.kaspersky.com/help/KESWin/12.6/ru-RU/177935.htm](https://support.kaspersky.com/help/KESWin/12.6/ru-RU/177935.htm)
Чтобы распространить ключ по конечным устройствам Kaspersky Endpoint Security: **Kaspersky Security Center Web Console** - Перейдите в раздел **Активы (Устройства)** → **Задачи.** - В **Списке задач** нажмите на кнопку **Добавить**. - Запустится мастер создания задачи. - Настройте параметры задачи: - В раскрывающемся списке **Приложение** выберите используемое приложение Kaspersky Endpoint Security для Windows (в нашем примере 12.8.0). - В раскрывающемся списке **Тип задачи** выберите **Добавление ключа**. - В поле **Название задачи** введите название создаваемой задачи. - В блоке **Устройства, которым будет назначена задача** выберите **Задать адреса устройств вручную или импортировать из списка**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/sUfimage147.png) - Нажмите на кнопку **Далее**. - В окне **Область действия задачи** нажмите **Добавить устройства**. В окне справа **Добавить устройства** выберите **Выбрать устройства, обнаруженные в сети Сервером администрирования**. Укажите тестовое устройство или тестовую группу администрирования для добавления ключа. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image140.png) - Нажмите **Добавить** и затем **Далее**. - В окне **Выбор лицензионного ключа** укажите ранее импортированный ключ **Kaspersky Endpoint Security для Windows KUMA Integration Add-on**. Нажмите **Далее**. - В окне **Информация о лицензии** ознакомьтесь с информацией и нажмите **Далее**. - В окне **Завершение создания задачи** снимите флажок **Открыть окно свойств задачи после ее создания** и нажмите кнопку **Готово**. Задача добавления ключа создана. Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку **Запустить**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image148.png) Результат выполнения задачи можно посмотреть в свойствах задачи на вкладке **Общие**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image149.png) В результате на выбранных устройствах будет еще один активный ключ для интеграции Kaspersky Endpoint Security с KUMA. Убедитесь, что активный ключ для интеграции с KUMA был успешно добавлен на устройства. Для этого в локальном интерфейсе Kaspersky Endpoint Security перейдите в раздел **Лицензия**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image150.png)Распространение ключа по конечным устройствам Kaspersky Endpoint Security с помощью консоли администрирования (MMC): [https://support.kaspersky.com/help/KESWin/12.6/ru-RU/177935.htm](https://support.kaspersky.com/help/KESWin/12.6/ru-RU/177935.htm)
Далее для отправки событий Windows с помощью Kaspersky Endpoint Security необходимо в политике Kaspersky Endpoint Security добавить адрес сервера KUMA и настроить сетевые параметры подключения: **Kaspersky Security Center Web Console** - Перейдите в раздел **Активы (Устройства)** → **Политики и профили политик.** - Нажмите на название используемой политики Kaspersky Endpoint Security для перехода в свойства политики. - В окне свойств политики перейдите на вкладку **Параметры приложения** и далее в раздел **Интеграция с KUMA**. - Нажмите на **Интеграция с** **KUMA**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image151.png) - В появившемся окне **Интеграция с** **KUMA**: - Включите переключатель **Интеграцию с KUMA**. - Нажмите **Добавить.** - В окне справа укажите: - ** IP-адрес** сервера KUMA (для распределенной инсталляции укажите IP-адрес сервера коллектора KUMA). - ** Порт **для подключения (см. параметры ранее созданного коллектора Раздел Создание коллектора KUMA) - Используемый **Протокол** (см. параметры ранее созданного коллектора **Раздел** **Создание коллектора KUMA**). - Нажмите **Сохранить**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image152.png) - Нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image153.png) - Далее нажмите **Сохранить**.Для версии KES 12.11 и выше также необходимо указать перечень журналов, из которых будет осуществляться отправка событий. Настройка производится на вкладке "Общие настройки" - "Исключения и типы объектов". Ниже приведен пример добавления журналов для MMC-консоли.
Опционально для протокола TCP Вы можете настроить защищенное соединение с использованием протокола TLS: [https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm](https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm)
Настройка политики Kaspersky Endpoint Security для отправки событий Windows в KUMA с помощью консоли администрирования (MMC): [https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm](https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm)
### Проверка поступления событий Windows в KUMA - Для проверки, что сбор событий Windows с помощью Kaspersky Endpoint Security успешно настроен перейдите в **Ресурсы** → **Активные сервисы** → выберите ранее созданный **коллектор** для событий Windows и нажмите **Перейти к событиям.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image157.png) - В открывшемся окне **События** убедитесь, что присутствуют события с устройств Windows. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-05/image158.png) ### Настройка tls для Windows KES Для настройки защищенного соединения вам нужен TLS-сертифика, далее добавить его в Kaspersky Endpoint Security. Перед настройкой убедитесь, что события поступают на коллектор без использования tls, а далее переходите к настройке TCP+TLS: Для настройки транспорта с использованием tcp + tls в меню переходим в **Ресурсы** -> **Активные Сервисы -> Выберите сервис коллектора,** отвечающий за прием событий с KES [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/0Wsimage.png) Далее переходим в раздел транспорт и в основных настройка в параметр “Тип” ставим **tcp** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/VGHimage.png) В том же разделе переходим в “Дополнительные параметры”, в параметре “Режим TLS” ставим значение **Включено** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/Op8image.png) Сохраняем параметры, перезагружаем коллектор. ##### Получение сертификата Дя экспорта сертификата, который необходим для загрузки в KES в меню KUMA нажимаем в левом нижнем углу на имя учетной записи пользователя“” -> Дополнительная информация -> **Microservice CA сертификат**. Сертификат автоматически начнет скачиваться на компьютер [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/T2Yimage.png) После необходимо поменять расширение файла на **crt **для его дальнейшего импорта в KSC, иначе он не добавится *core-internal-ca-ca.cert -> core-internal-ca-ca.crt* ##### Добавление TLS-сертификата в Kaspersky Endpoint Security **Этап настройка в KSC: **в веб-консоли KSC в меню выбираем “Активы(Устройства)” -> “Политики и профили политик” -> Открываем политику, которая применяется на устройство [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/rbsimage.png) Переходим во вкладку “Параметры приложения” [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/dd6image.png) Далее открываем “Интеграция с KUMA” [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/Whtimage.png) Разворачиваем “Интеграция с KUMA” [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/Ioximage.png) Необходимо проставить галочку в параметр “Использовать шифрование TLS”, а также поменять/поставить в параметр “ip-адрес” **FQDN сервера коллектора KUMA (сервера KUMA в случае All-in-One)** вместо ipv4 [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/iNnimage.png) Далее переходим в “Настройки подключения к серверам KUMA”. Необходимо загрузить сертификат, который мы скачивали ранее [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/d0fimage.png) После чего придет уведомление об успешной загрузки сертификата TLS. Необходимо все сохранить и вернуться на страницу “Политики и профили политик” [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/rzVimage.png) Автоматически политика начнет применяться ко всем устройствам, а чтобы убедиться в ее успешном применении нужно нажать флаг политики, станет доступен параметр среди действий “Результаты применения" [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/lYNimage.png) Где можно увидеть статус применения политики на устройства [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/0GWimage.png)Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Что такое Sysmon **System Monitor (Sysmon)** — это инструмент мониторинга ОС от Microsoft, который входит в пакет Sysinternals Suite. Представляет собой системную службу и драйвер устройства Windows, которые после установки постоянно работают в системе, в том числе после перезагрузки. Типы событий, создаваемые Sysmon: [https://learn.microsoft.com/ru-ru/sysinternals/downloads/sysmon#event-id-1-process-creation](https://learn.microsoft.com/ru-ru/sysinternals/downloads/sysmon#event-id-1-process-creation) Sysmon предоставляет подробную информацию о создании процессов, сетевых подключениях и изменениях времени создания файлов. За счет сбора событий Sysmon средствами сбора событий Windows (Windows Event Collection) или SIEM-системами и последующего их анализа, можно выявлять вредоносную или аномальную активность и понять, как злоумышленники и вредоносное ПО действуют в вашей сети. Служба работает как защищенный процесс, что блокирует широкий спектр взаимодействий из пользовательского режима. Sysmon не анализирует генерируемые им события и не пытается скрыть свое присутствие от злоумышленников. ### Описание схемы работы Схема работы абсолютно идентична схеме работы, приведенной в разделе [**Описание схемы работы с Windows Event Collector**](https://kb.kuma-community.ru/link/97#bkmrk-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%B0%D1%83%D0%B4%D0%B8%D1%82%D0%B0-%D0%BE%D1%82%D0%B4) статьи **MS WEC**. ### Установка и настройка SysmonSysmon использует файл конфигурации, который содержит набор правил (фильтров), указывающих Sysmon какие именно события операционной системы (создание процессов, сетевые подключения, изменение файлов и т.д.) нужно регистрировать в журнале. В статье используется готовый шаблон файла конфигурации из репозитория - [https://github.com/SwiftOnSecurity/sysmon-config](https://github.com/SwiftOnSecurity/sysmon-config). По умолчанию в шаблоне включены достаточно "шумные" правила для мониторинга DNS-запросов. Если их мониторинг не требуется просто удалите эту секцую или закомментируйте правила.
#### На отдельной рабочей станции/сервере - Выполните загрузку **Sysmon.exe** с официального сайта [Sysinternals](https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon): ```powershell Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Sysmon.zip" -OutFile "<Путь для загрузки файла>\<Имя файла>" ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/1bvimage.png) - Распакуйте архив средствами проводника Windows или с помощью PowerShell-команды: ```powershell Expand-Archive -Path "<Путь, куда был загружен файл>\<Имя файла>" -DestinationPath "<Путь для загрузки файла>\<Имя файла>" -Force ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/MlTimage.png) - Загрузите готовый конфигурационный [файл](https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml) Sysmon. Можно использовать конфигурационные файлы из других репозиториев, например, [отсюда](https://github.com/olafhartong/sysmon-modular) или создать собственный (подробнее см. [здесь](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon#configuration-files)): ```powershell Invoke-WebRequest -Uri "https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml" -OutFile "<Путь для загрузки файла>\<Имя файла>" ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/UOCimage.png) - Запустите PowerShell с правами администратора и выполните установку Sysmon с ранее загруженной (или собственной) конфигурацией: ```powershell <Путь до файла>\Sysmon.exe -accepteula -i "<Путь до файла конфигурации>\<Имя файла конфигурации>" ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/2S3image.png) - Проветье статус службы Sysmon: ```powershell Get-Service -Name Sysmon ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/XVlimage.png) - Нажмите кнопку **Win**, введите **eventvwr.msc** и запустите **Просмотр** **событий (Event Viewer)** от имени администратора. - Перейдите в **Журналы приложений и служб** → **Microsoft →** **Windows →** **Sysmon →** **Operational**. Если в появившемся окне **Operational** отображаются события Sysmon, значит cлужба Sysmon установлена и настроена корректно. - - - [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/R6fimage.png) #### На группе рабочих станций/серверов средствами GPO При наличии опыта администрирования Windows инфраструктуры вы можете использовать наиболее привычный для Вас способ. Ниже описан один из вариантов установки и настройки Sysmon. - Выполните загрузку **Sysmon.exe** с официального сайта [Sysinternals](https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon): ```powershell Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Sysmon.zip" -OutFile "<Путь для загрузки файла>\<Имя файла>" ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/1bvimage.png) - Распакуйте архив средствами проводника Windows или с помощью PowerShell-команды: ```powershell Expand-Archive -Path "<Путь, куда был загружен файл>\<Имя файла>" -DestinationPath "<Путь для загрузки файла>\<Имя файла>" -Force ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/MlTimage.png) - Загрузите готовый конфигурационный [файл](https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml) Sysmon. Можно использовать конфигурационные файлы из других репозиториев, например, [отсюда](https://github.com/olafhartong/sysmon-modular) или создать собственный (подробнее см. [здесь](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon#configuration-files)): ```powershell Invoke-WebRequest -Uri "https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml" -OutFile "<Путь для загрузки файла>\<Имя файла>" ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/UOCimage.png) - На контроллере домена создайте папку **sysmon** по пути **\\\\<Имя контроллера домена>\\SYSVOL\\<Название домена>\\scripts\\**.**Почему SYSVOL?** **Репликация и доступность:** Папка SYSVOL автоматически реплицируется между всеми контроллерами домена (DC). Это означает, что файлы Sysmon будут доступны с любого контроллера домена по пути \\\\<ANY\_DC>\\SYSVOL\\<domain>\\scripts\\sysmon\\. Таким образом обеспечивается высокая доступность исполняемого файла Sysmon.exe и файла конфигурации. **Гарантированный доступ с компьютеров домена:** По умолчанию у всех компьютеров в домене есть право на чтение из SYSVOL. Вам не потребуется вручную настраивать права NTFS или общие ресурсы (Network Shares). **Безопасность:** Поскольку запись в SYSVOL по умолчанию разрешена только администраторам домена, риск случайного или злонамеренного изменения скриптов или файлов Sysmon посторонними лицами минимален.
- Скопируйте файл **Sysmon.exe** и файл конфигурации **sysmonconfig-export.xml** на контроллер домена в **\\\\<Имя контроллера домена>\\SYSVOL\\<Название домена>\\scripts\\sysmon.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/SNhimage.png) - Создайте скрипт установки **deploy\_sysmon.cmd** (укажите актуальное имя домена в значении переменной **SYSMON\_NETWORK\_PATH**): ```bash @echo off setlocal EnableDelayedExpansion rem --- Проверка установлен ли уже Sysmon --- sc query Sysmon >nul 2>&1 if !ERRORLEVEL! EQU 0 ( echo [INFO] Sysmon is already installed. Exiting. goto :clean_exit ) rem --- Пути --- set "SYSMON_NETWORK_PATH=\\Вместо использования имени конкретного контроллера домена в скрипте используется полное имя домена. Это обеспечивает отказоустойчивость: если "вернувшийся" в запросе контроллер домена будет недоступен, устройства автоматически обратятся к другому контроллеру домена за файлами.
GPO можно применять к группе компьютеров, к OU, к сайт или всему домену. Первоначально рекомендуется выполнить развертывание службы Sysmon на нескольких некритичных рабочих станциях и далее после успешного тестирования постепенно масштабировать GPO на другие группы компьютеров и/или OU.
- В нашем примере будет использоваться группа компьютеров - создайте группу компьютеров средствами **Active Directory – пользователи и компьютеры**, задайте имя группе, например, **KUMA Sysmon**. Добавьте в данную группу несколько некритичных рабочих станций, на которых предполагается развертывание службы Sysmon. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/6t6image.png) - Для того, чтобы изменения вступили в силу (в данном случае членство в новой группе), выполните перезагрузку устройства. Альтернативным вариантом может быть перевыпуск Kerberos-тикетов для устройства с помощью klist.exe.Проверить, что устройство стало членом группы можно с помощью команды: **gpresult /r /scope:computer**
- На контроллере домена запустите оснастку **Управление групповой политикой**: нажмите **Win + R** → **gpmc.msc.** - Создайте новый объект групповой политики, например, **Deploy Sysmon:** ПКМ Объекты групповой политики → Создать → **введите в качестве имени объекта** Deploy Sysmon.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/B6kimage.png) - Далее выберите созданный объект групповой политики **Deploy Sysmon** и нажмите **Изменить.** - Перейдите в **Конфигурация компьютера** → **Политики** → **Конфигурация Windows** → **Сценарии (Запуск/Завершение)** → **Автозагрузка** **(Computer Configuration → Policies → Windows Settings → Scripts (Startup/Shutdown) → Startup)** - Нажмите **Добавить** и в появившемся окне **Добавление сценария** нажмите **Обзор.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/w9dimage.png) - В окне **Проводника** в папку \\\\<Наименование домена>\\SysVol\\<Наименование домена>\\Policies\\<GUID политики>\\Machine\\Scripts\\Startup скопируйте ранее созданный скрипт **deploy\_sysmon.cmd**, далее выберите скрипт и нажмите **Открыть**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/Aucimage.png) - Нажмите **ОК**. - В окне **Свойства: Автозагрузка** нажмите **ОК**. Таким образом, скрипт, устанавливающий службу Sysmon будет выполняться при запуске ОС. - Далее вернитесь в окно **Управление групповой политикой** → выберите объект групповой политики **Deploy Sysmon** → в окне справа **Фильтры безопасности** удалите группу **Прошедшие проверку** и добавьте группу **KUMA Sysmon.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/jbyimage.png) - Нажмите **ПКМ** на домен и выберите **Связать существующий объект групповой** **политики** → выберите **KUMA Sysmon** и нажмите ОК. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/AiXimage.png) - Итоговый вид политики должен выглядеть следующим образом (см. скриншот). [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/xy7image.png) - Для того, чтобы скрипт установки Sysmon из новой GPO был применен на рабочих станциях, необходимо перезагрузить устройства и выполнить вход под УЗ пользователя. - Для проверки, что GPO была успешно применена и Sysmon был установлен, на одном из тестовых устройств: - Проверьте статус службы Sysmon: ``` Get-Service -Name Sysmon ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/XVlimage.png) - - - Нажмите кнопку **Win**, введите **eventvwr.msc** и запустите **Просмотр** **событий (Event Viewer)** от имени администратора. - Перейдите в **Журналы приложений и служб** → **Microsoft →** **Windows →** **Sysmon →** **Operational**. Если в появившемся окне **Operational** отображаются события Sysmon, значит cлужба Sysmon установлена и настроена корректно. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/R6fimage.png) --- ### Настройка WEC-сервера[Рекомендуемые системные требования](https://support.kaspersky.ru/kuma/4.0/217889) для WEC-сервера [Best Practice](https://learn.microsoft.com/en-us/troubleshoot/windows-server/admin-development/configure-eventlog-forwarding-performance) от MS
#### Настройка службы Windows Event Collector (WEC) Если служба Windows Event Collector (WEC) еще не настроена см. раздел [**Настройка службы Windows Event Collector (WEC)**](https://kb.kuma-community.ru/link/97#bkmrk-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D1%81%D0%BB%D1%83%D0%B6%D0%B1%D1%8B-win) #### Настройка подписки для событий Sysmon на WEC-сервере Чтобы настроить подписку для событий Sysmon на WEC-сервере: - Нажмите кнопку **Win**, введите **eventvwr.msc** и запустите **Просмотр событий** от имени администратора. - Выберите **Подписки →** правой кнопкой мыши **Создать подписку** → Укажите имя подписки, например, KUMA Sysmon и тип подписки **Инициировано исходным компьютером.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/3p2image.png) - Выберите отдельные компьютеры или группу компьютеров, на которых установлен Sysmon и события которых требуется собирать. В нашем примере – это группа компьютеров KUMA Sysmon: нажмите **Выбрать группы компьютеров** **→** **Добавить доменный компьютер** **→ **в поле **Введите имена выбираемых объектов** укажите ранее созданную группу компьютеров и нажмите **ОК**.Если предполагается сбор событий с контроллера домена, в таком случае, контроллер домена **можно добавить как отдельный доменный компьютер**.
[](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/nF0image.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/ZJpimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/o5Eimage.png) - Задайте собираемые события: Выбрать события → **перейдите на вкладку XML и установите флажок **Изменить запрос вручную**. - Вставьте в поле следующий фильтр событий: ```xmlВ качестве объекта групповой политики используйте **Deploy Sysmon**.
### Проверка поступления событий Убедитесь, что на WEC-сервер поступают события Sysmon с рабочих станций/серверов: - На WEC-сервере нажмите кнопку **Win**, введите **eventvwr.msc** и запустите **Просмотр событий** от имени администратора. - Перейдите в **Журналы Windows** → **Перенаправленные события (Forwarded Events)**. - В панели справа выберите **Фильтр текущего журнала.** - В окне **Фильтровать текущий журнал** в поле **Источники событий** укажите **Microsoft-Windows-Sysmon** и нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/xdCimage.png) - Если в окне **Перенаправленные события (Forwarded Events)** отображаются события Sysmon, значит подписка работает корректно. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/g8uimage.png)Для MS Server 2016 и 2019 в случае если события не пересылаются, выполнить шаги по **[этой инструкции](https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/admin-development/events-not-forwarded-by-windows-server-collector)**. При добавлении разрешения для URL-адреса с помощью **netsh http add urlacl** добавьте кавычки "..." в параметре SDDL: `netsh http delete urlacl url=http://+:5985/wsman/netsh http add urlacl url=http://+:5985/wsman/ sddl="D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)"netsh http delete urlacl url=https://+:5986/wsman/netsh http add urlacl url=https://+:5986/wsman/ sddl="D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)"`
В случае если от источников не поступают события Sysmon проверьте на WEC-сервере в журнале `Microsoft/windows/event_forwardingPlugin/Operational` события с кодом 5004 (), если там есть такие события, то выполните рекомендации согласно этой статье: [https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/system-management-components/security-event-log-forwarding-fails-error-0x138c-5004](https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/system-management-components/security-event-log-forwarding-fails-error-0x138c-5004) ### Настройка коллектора и агента KUMA Если Вы уже ранее развернули агент KUMA на WEC-сервере и настроили сервис коллектор для сбора событий Windows (см. статью [MS WEC](https://kb.kuma-community.ru/link/97#bkmrk-page-title)), в таком случае дополнительных действий не требуется и можно переходить к шагу **Проверка поступления событий Windows в KUMA.** В случае если агент KUMA и сервис коллектора для событий Windows ранее не настраивались - см. раздел **[Настройка коллектора и агента KUMA](https://kb.kuma-community.ru/link/97#bkmrk-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%BA%D0%BE%D0%BB%D0%BB%D0%B5%D0%BA%D1%82%D0%BE%D1%80%D0%B0).** ### Проверка поступления событий Windows в KUMA Для проверки, что сбор событий Sysmon успешно настроен перейдите в **Ресурсы** → **Активные сервисы** → выберите коллектор для событий Windows/Sysmon и нажмите **Перейти к событиям**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/Q9himage.png) 2\. В открывшемся окне **События** добавьте в поисковый запрос условие DeviceProduct = 'Sysmon' и убедитесь, что события Sysmon доступны. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/JzMimage.png) --- ### Полезные ссылки Статья MS о Sysmon - [https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) Шаблон файла конфигурации Sysmon - [https://github.com/SwiftOnSecurity/sysmon-config](https://github.com/SwiftOnSecurity/sysmon-config)