# Подключение источников # Официальная документация по настройке источников
[Настройка получения событий Auditd](https://support.kaspersky.com/KUMA/3.4/ru-RU/239760.htm) [Настройка получения событий KATA/EDR](https://support.kaspersky.com/KUMA/3.4/ru-RU/240690.htm) [Настройка получения событий Kaspersky Security Center в формате CEF](https://support.kaspersky.com/KUMA/3.4/ru-RU/241235.htm) [Настройка получения событий Kaspersky Security Center из MS SQL](https://support.kaspersky.com/KUMA/3.4/ru-RU/245386.htm) [Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)](https://support.kaspersky.com/KUMA/3.4/ru-RU/248413.htm) [Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)](https://support.kaspersky.com/KUMA/3.4/ru-RU/257568.htm) [Настройка получения событий DNS-сервера с помощью агента ETW](https://support.kaspersky.com/KUMA/3.4/ru-RU/279436.htm) [Настройка получения событий PostgreSQL](https://support.kaspersky.com/KUMA/3.4/ru-RU/251880.htm) [Настройка получения событий ИВК Кольчуга-К](https://support.kaspersky.com/KUMA/3.4/ru-RU/254156.htm) [Настройка получения событий КриптоПро NGate](https://support.kaspersky.com/KUMA/3.4/ru-RU/252218.htm) [Настройка получения событий Ideco UTM](https://support.kaspersky.com/KUMA/3.4/ru-RU/255211.htm) [Настройка получения событий KWTS](https://support.kaspersky.com/KUMA/3.4/ru-RU/254373.htm) [Настройка получения событий KLMS](https://support.kaspersky.com/KUMA/3.4/ru-RU/254784.htm) [Настройка получения событий KSMG](https://support.kaspersky.com/KUMA/3.4/ru-RU/254785.htm) [Настройка получения событий KICS for Networks](https://support.kaspersky.com/KUMA/3.4/ru-RU/282775.htm) [Настройка получения событий PT NAD](https://support.kaspersky.com/KUMA/3.4/ru-RU/256166.htm) [Настройка получения событий c помощью плагина MariaDB Audit Plugin](https://support.kaspersky.com/KUMA/3.4/ru-RU/256167.htm) [Настройка получения событий СУБД Apache Cassandra](https://support.kaspersky.com/KUMA/3.4/ru-RU/258317.htm) [Настройка получения событий FreeIPA](https://support.kaspersky.com/KUMA/3.4/ru-RU/258336.htm) [Настройка получения событий VipNet TIAS](https://support.kaspersky.com/KUMA/3.4/ru-RU/255310.htm) [Настройка получения событий Nextcloud](https://support.kaspersky.com/KUMA/3.4/ru-RU/265465.htm) [Настройка получения событий Snort](https://support.kaspersky.com/KUMA/3.4/ru-RU/265480.htm) [Настройка получения событий Suricata](https://support.kaspersky.com/KUMA/3.4/ru-RU/265484.htm) [Настройка получения событий FreeRADIUS](https://support.kaspersky.com/KUMA/3.4/ru-RU/265491.htm) [Настройка получения событий VMware vCenter](https://support.kaspersky.com/KUMA/3.4/ru-RU/268252.htm) [Настройка получения событий zVirt](https://support.kaspersky.com/KUMA/3.4/ru-RU/265514.htm) [Настройка получения событий Zeek IDS](https://support.kaspersky.com/KUMA/3.4/ru-RU/265545.htm) [Настройка получения событий Windows с помощью Kaspersky Endpoint Security для Windows](https://support.kaspersky.com/KUMA/3.4/ru-RU/280730.htm) [Настройка получения событий Сodemaster Mirada](https://support.kaspersky.com/KUMA/3.4/ru-RU/282770.htm) [Настройка получения событий Postfix](https://support.kaspersky.com/KUMA/3.4/ru-RU/287428.htm) [Настройка получения событий CommuniGate Pro](https://support.kaspersky.com/KUMA/3.4/ru-RU/290156.htm) [Настройка получения событий Yandex Cloud](https://support.kaspersky.com/KUMA/3.4/ru-RU/290821.htm) [Настройка получения событий Microsoft 365](https://support.kaspersky.com/KUMA/3.4/ru-RU/295058.htm) |
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/KUMA/2.1/ru-RU/241235.htm](https://support.kaspersky.com/KUMA/2.1/ru-RU/241235.htm "Настройка получения событий Kaspersky Security Center в формате CEF")
Функция экспорта событий Kaspersky Security Center в SIEM-системы в формате CEF доступна при наличии лицензии Kaspersky Endpoint Security для бизнеса **Расширенный** или **выше**.
### Настройка передачи событий KSC в формате CEF Чтобы настроить передачу событий от Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA: 1\. В дереве консоли Kaspersky Security Center выберите узел **Сервер администрирования**. 2\. В рабочей области узла выберите вкладку **События**. 3\. Перейдите по ссылке **Настроить параметры уведомлений и экспорта событий** и в раскрывающемся списке выберите **Настроить экспорт в SIEM-систему**. Откроется окно **Свойства**: **События**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/GWvimage.png) 4\. Установите флажок **Автоматически экспортировать события в базу SIEM-системы**. 5\. В раскрывающемся списке SIEM-система выберите **ArcSight (CEF-формат)**.[](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/AtKimage.png) 6\. Укажите адрес сервера SIEM-системы KUMA и порт для подключения к серверу в соответствующих полях. По кнопке **Экспортировать архив** Kaspersky Security Center экспортирует уже созданные события в базу SIEM-системы KUMA с указанной даты. По умолчанию Kaspersky Security Center экспортирует события с текущей даты. 7\. Нажмите на кнопку **ОК**. --- ### Настройка коллектора KUMA 1\. В веб-интерфейсе KUMA перейдите в раздел **Ресурсы** → **Коллекторы**. 2\. В списке коллекторов найдите коллектор с нормализатором **\[OOTB\] KSC** и откройте его для редактирования.Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
**✔️ Рекомендуется** - Рекомендуемый способ сбора для этого источника событий
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/KUMA/2.1/ru-RU/245386.htm](https://support.kaspersky.com/KUMA/2.1/ru-RU/245386.htm)
SQL Server должен поддерживать TLS 1.2 - дополнительную информацию можно изучить тут: [https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server](https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server "https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server")
Для отключения защищенного подключения к БД можно воспользоваться следующей опцией в коннекторе: `sqlserver://user:password@server:port?database=DBName&encrypt=disable`
### ### Настройка БД MS SQL Для сбора событий из БД MS SQL необходимо создать учетную запись с соответствующеми правами. Для этого выполните следующие действия: 1. Перейдите на сервер, где установлена БД MS SQL для KSC. С помощью Microsoft SQL Server Management Studio подключитесь к БД из-под учетной записи, обладающей правами администратора в БД.  2\. Перейдите в соответствующий экземпляр БД MS SQL на вкладку Security и для вкладки Logins выберите New Login...  3\. Добавьте учетную запись пользователя, с помощью которой будет осуществляться доступ к БД KSC  4. Установите для учетной записи БД KSC в качестве БД по умолчанию (по умолчанию в KSC используется БД KAV).  5\. Настройте учетной записи права db\_datareader и public для БД KSC в соответствии с изображением ниже.  6\. Убедитесь, что созданной учетной записи разрешено подключение к БД. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/kECimage.png)Для проверки прав созданной учетной записи можно запустить Microsoft SQL Management Studio от имени созданного пользователя (с зажатым Shift нажать ПКМ и выбрать Запуск от имени другого пользователя). Затем перейти в любую таблицу БД KSC и сделать выборку по этой таблице.
--- ### Настройка SQL Server Browser Для подключения к серверу MS SQL для сбора событий необходимо настроить соответствующую службу и разрешить входящие подключения. Для этого выполните следующие действия: 1. Откройте оснастку SQL Server Configuration Manager. Запустите службу SQL Server Browser и задайте автоматический запуск службы.   2. Включите TCP/IP протокол для соответствующего экземпляра БД.  3. В свойствах протокола, на вкладке IP Addresses для поля IPALL в TCP Port укажите значение 1433.  4. Перезапустите службу экземпляра SQL сервера.  5. Разрешите на сервере входящие подключения по порту 1433. Это можно сделать в оснастке Брандмауэр защитника Windows в режиме повышенной безопасности. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/WyOimage.png) --- ### Создание секрета KUMA Для подключения к БД MS SQL со стороны KUMA необходимо создать строку подключения. Для этого выполните следующие действия: 1\. В веб-интерфейсе KUMA перейдите на вкладку **Ресурсы →** **Секреты** и нажмите на кнопку **Добавить секрет**. 2\. Укажите **Имя** секрета, выберите **Тенант**, к которому будет относиться создаваемый секрет. 3\. Задайте секрету тип **urls** и в поле **URL** укажите строку вида (в квадратных скобках опциональный параметр, квадратные скобки прописывать не надо): **sqlserver://\[<domain>%5C\]<username>:<password>@<server>:1433/<наименование БД>** По умолчанию наименование БД импользуется **KAV**: [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/SdYimage.png)! | \# | $ | % | & | ' | ( | ) | \* | + |
%21 | %23 | %24 | %25 | %26 | %27 | %28 | %29 | %2A | %2B |
, | / | : | ; | = | ? | @ | \[ | \] | \\ |
%2C | %2F | %3A | %3B | %3D | %3F | %40 | %5B | %5D | %5C |
Если в пароле присутствуют другие спецсиволы, которые отсутствуют в таблице выше, либо прото для удобства, то с версии KUMA 3.2 можно использовать опцию - **Секрет отдельно** для указания логина и пароля.
[](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/Wsgimage.png) 4\. Сохраните созданный секрет.Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.
--- ### Настройка коннектора 1\. Для подключения к БД MS SQL необходимо настроить коннетор. Для этого выполните следующие действия 2\. В веб-интерфейсе KUMA перейдите в раздел **Ресурсы** → **Коннекторы**. 3\. В списке коннекторов справа найдите коннектор **\[OOTB\] KSC SQL** и откройте его для редактирования.Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройка PostgreSQL Настройки на сервере БД PostgreSQL можно выполнять в консоли (SSH, терминал ОС) или средствами утилиты pgAdmin (требуется установка). В данной статье сервер БД PostgreSQL работает под управлением ОС Astra Linux, а все настройки выполняются **в консоли.** Для удобства в базе данных PostgreSQL Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA **\[OOTB\] KSC PostgreSQL** содержит уже готовые запросы к публичным представлениям **v\_akpub\_ev\_event** и **v\_akpub\_host**.Коннектор **\[OOTB\] KSC PostgreSQL** позволяет экспортировать события из БД PostgreSQL Kaspersky Security Center (KSC) версии 15.0.
Проверена работоспособность коннектора с KSC 14.2 Windows (БД PostgreSQL).
#### Проверка имени БД KSC Чтобы проверить имя базы данных KSC можно воспользоваться следующей статьей: [https://support.kaspersky.ru/ksc-linux/15/228689](https://support.kaspersky.ru/ksc-linux/15/228689) (KSC Linux) Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC: - Измените текущего пользователя на **postgres** ```bash sudo -i -u postgres ``` - Запустите интерактивный терминал PostgreSQL и выведите список баз данных сервера ``` psql \l # вывод списка баз данных сервера ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2023-12/12eimage.png) #### Создание роли БД и предоставление прав - В консоли сервера, где установлена БД PostreSQL KSC, измените текущего пользователя на **postgres** ```bash sudo -i -u postgres ``` - Запустите интерактивный терминал PostgreSQL ```bash psql ```Также для создания роли БД и предоставления ей соответствующих прав можно использовать существующую учетную запись с атрибутом **role creation** и правами доступа к публичным представлениям. Пример подключения к БД: psql -U <имя УЗ> -d <имя БД KSC>
- Создайте роль пользователя kuma ```bash CREATE USER kuma WITH PASSWORD '<задайте пароль>'; ``` - Подключитесь к БД KSC (см. Раздел "**Проверка имени БД KSC**". По умолчанию KAV) ``` \connect KAV ``` - Предоставьте права роли KUMA ```bash GRANT SELECT ON v_akpub_ev_event TO kuma; GRANT SELECT ON v_akpub_host TO kuma; GRANT SELECT ON v_akpub_virus_activity TO kuma; GRANT SELECT ON v_akpub_hst_prdstate TO kuma; GRANT SELECT ON v_akpub_host_status TO kuma; ``` #### Настройка удаленного доступа к БД PostgreSQL и метода аутентификации - Откройте файл **/etc/postgresql/<версия БД PostgreSQL>/main/pg\_hba.conf** и в секции **IPv4 local connections** добавьте следующую строку ```bash host <имя БД,например, KAV> kumaПри необходимости разрешите входящие соединения на порт БД PostgreSQL (по умолчанию, TCP/5432) в параметрах локального FW.
--- ### Создание секрета KUMA 1\. В веб-интерфейсе KUMA перейдите на вкладку **Ресурсы →** **Секреты** 2\. Выберите секрет **\[OOTB\] KSC PostgreSQL connection** и нажмите **Дублировать.** [](https://kb.kuma-community.ru/uploads/images/gallery/2024-01/jaMimage.png) 3\. В появившемся окне задайте: - Название секрета - URL (формат URL можно взять из **Описания** к секрету). В поле URL укажите: - Имя ранее созданной роли (в нашем примере это **kuma**) и ее пароль; - IP-адрес или FQDN сервера БД; - Наименование БД KSC (по умолчанию KAV. См. **Проверка имени БД KSC**). [](https://kb.kuma-community.ru/uploads/images/gallery/2024-01/PA3image.png)Если в пароле используются спецсимволы необходимо перевести данные спецсимволы в URL формат в соответствии с таблицей ниже.
! | \# | $ | % | & | ' | ( | ) | \* | + |
%21 | %23 | %24 | %25 | %26 | %27 | %28 | %29 | %2A | %2B |
, | / | : | ; | = | ? | @ | \[ | \] | \\ |
%2C | %2F | %3A | %3B | %3D | %3F | %40 | %5B | %5D | %5C |
По умолчанию коллектор KUMA при обращении к БД PostgreSQL будет пытаться построить TLS-туннель. Если на стороне сервера БД не настроено использование SSL/TLS (что НЕ рекомендуется!) в URL секрета необходимо добавить **"?sslmode=disable"**, чтобы строка приняла следующий вид: postgres://user:password@server/database**?sslmode=disable**
4\. Нажмите **Сохранить**.Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.
--- ### Настройка коннектора 1\. В веб-интерфейсе KUMA перейдите в раздел **Ресурсы** → **Коннекторы** 2\. В списке коннекторов справа найдите коннектор **\[OOTB\] KSC PostgreSQL** и нажмите **Дублировать** [](https://kb.kuma-community.ru/uploads/images/gallery/2024-01/BzHimage.png) 3\. В появившемся окне задайте: - Название коннектора - На вкладке **Основные параметры** в выпадающих списках **URL** выберите секрет, созданный ранее для подключения к БД PostgreSQL KSC. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-01/Deoimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2024-01/jsaimage.png) 4\. Нажмите **Сохранить**. --- ### Настройка коллектора 1\. В веб-интерфейсе KUMA перейдите в раздел **Ресурсы** и нажмите **Подключить источник** 2\. В появившемся окне задайте **Название коллектора** и **Тенант** 3\. На шаге **Транспорт** выберите ранее созданный коннектор 4\. На шаге **Парсинг событий** выберите нормализатор **\[OOTB\] KSC from SQL**. 5\. На шаге **Маршрутизация** задайте следующие точки назначения: - **Хранилище**. Для отправки обработанных событий в хранилище. - **Коррелятор**. Для отправки обработанных событий в коррелятор. 6\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 7\. Скопируйте появившуюся команду и выполните установку сервиса коллектора. --- ### Проверка поступления событий KSC в KUMA Для проверки, что экспорт событий из БД KSC успешно настроен, перейдите в **Ресурсы -> Активные сервисы ->** выберите ранее созданный коллектор **KSC PostgreSQL** и нажмите **Перейти к событиям**. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-01/X7Eimage.png) В открывшемся окне **События** убедитесь, что присутствуют события KSC. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-01/Ok0image.png) # KSC MariaDBИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
### Настройка MariaDB В **MariaDB** настройки на сервере базы данных можно выполнять несколькими способами: через консоль (SSH, терминал ОС) или с помощью графических интерфейсов, таких как **phpMyAdmin** или **MySQL Workbench** В данной статье сервер БД MariaDB работает под управлением ОС Ubuntu 22.04.5, а все настройки выполняются **в консоли.** Для удобства в базе данных MariaDB Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA **\[OOTB\] KSC MySQL** содержит уже готовые запросы к публичным представлениям **v\_akpub\_ev\_event** и **v\_akpub\_host**.Для обеспечения корректной работы MariaDB с Kaspersky Security Center рекомендуется использовать версии MariaDB начиная с 10.5.17 или более новые.
#### Проверка имени БД KSC Чтобы проверить имя базы данных KSC можно воспользоваться следующей статьей: Просмор имени базы данных Kaspersky Security Center Linux - (KSC Linux) - [https://support.kaspersky.ru/ksc-linux/15.1/228689](https://support.kaspersky.ru/ksc-linux/15.1/228689) Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC: - Подключитесь к серверу базы данных ``` mariadb -h localhost -u admin -p ``` где, вместо `admin` задайте логин своего пользователя MariaDB - Запустите интерактивный терминал MariaDB и выведите список баз данных сервера ```mysql SHOW DATABASES; ```  #### Создание роли БД и предоставление прав -При необходимости разрешите входящие соединения на порт БД MariaDB (по умолчанию, TCP/3306) в параметрах локального FW, а также в настройках конфигурационного файла my.cnf
--- ### Создание секрета KUMA 1\. В веб-интерфейсе KUMA перейдите на вкладку **Ресурсы →** **Секреты → Добавить** 2\. Создайте секрет MariaDB, В появившемсе окне задайте - URL (формат URL можно взять из **Описания** к секрету). В поле URL укажите: - Имя ранее созданной роли (в нашем примере это **kuma\_siem**) и ее пароль; - Протокол подключения - IP-адрес или FQDN сервера БД ; - Порт подключения (по умолчанию `3306`) - Наименование БД KSC (по умолчанию `KAV`. См. **Проверка имени БД KSC**). ```bash mysql://<имя пользователя БД>:<Пароль>@<протокол подключения>(Если в пароле используются спецсимволы необходимо перевести данные спецсимволы в URL формат в соответствии с таблицей ниже.
! | \# | $ | % | & | ' | ( | ) | \* | + |
%21 | %23 | %24 | %25 | %26 | %27 | %28 | %29 | %2A | %2B |
, | / | : | ; | = | ? | @ | \[ | \] | \\ |
%2C | %2F | %3A | %3B | %3D | %3F | %40 | %5B | %5D | %5C |
Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.
--- ### Настройка коннектора 1\. В веб-интерфейсе KUMA перейдите в раздел **Ресурсы** → **Коннекторы** 2\. В списке коннекторов найдите коннектор **\[OOTB\] KSC MySQL**, отметьте его галочкой и нажмите **Дублировать** 3\. В появившемся окне задайте: - - - Название коннектора - На вкладке **Основные параметры** в разделе **Соединение** в выпадающих списках URL выберите секрет, созданный ранее для подключения к БД MariaDB KSCОбратите внимание, что в коннекторе используется несколько запросов! URL подключения необходимо заменить для **ВСЕХ** запросов.
4\. В запросе смените название БД (`ksc_srv`) на имя БД KSC, в нашем случае `KAV` (по умолчанию)  Обратите внимание, что в коннекторе используется несколько запросов! Название БД необходимо заменить для **ВСЕХ** запросов.
--- ### Настройка коллектора 1\. В веб-интерфейсе KUMA перейдите в раздел **Ресурсы** и нажмите **Подключить источник** 2\. В появившемся окне задайте **Название коллектора** и **Тенант** 3\. На шаге **Транспорт** выберите ранее созданный коннектор 4\. На шаге **Парсинг событий** выберите сдублированный нормализатор **\[OOTB\] KSC from SQL**. 5\. На шаге **Маршрутизация** задайте следующие точки назначения: - **Хранилище**. Для отправки обработанных событий в хранилище. - **Коррелятор**. Для отправки обработанных событий в коррелятор. 6\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 7\. Скопируйте появившуюся команду и выполните установку сервиса коллектора. --- ### Проверка поступления событий KSC в KUMA Для проверки, что экспорт событий из БД KSC успешно настроен, перейдите в **Ресурсы -> Активные сервисы ->** выберите ранее созданный коллектор **KSC PostgreSQL** и нажмите **Перейти к событиям** В открывшемся окне **События** убедитесь, что присутствуют события KSC. ###  --- ### Полезные ссылки Настройка сервера MariaDB x64 для работы с Kaspersky Security Center Linux - [https://support.kaspersky.ru/ksc-linux/15/210277](https://support.kaspersky.ru/ksc-linux/15/210277) Коннекторы типа sql в kuma - [https://support.kaspersky.ru/kuma/3.2/220746](https://support.kaspersky.ru/kuma/3.2/220746) # KLMSИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm)
### Настройка передачи событий KLMS в KUMA Чтобы настроить передачу событий KLMS в KUMA: 1\. Подключитесь к серверу KLMS по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode. 2\. С помощью утилиты `klms-control` выгрузите настройки в файл `settings.xml`: ```bash sudo /opt/kaspersky/klms/bin/klms-control --get-settings EventLogger -n -f /tmp/settings.xml ``` 3\. Убедитесь, что параметры файла `/tmp/settings.xml `имеют следующие значения, при необходимости внесите изменения: ```xmlИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254785.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254785.htm)
### Настройка передачи событий KSMG в KUMAДанная инструкция применима для KSMG версии 1.1
Чтобы настроить передачу событий KSMG в KUMA: 1\. Подключитесь к серверу KSMG по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode. 2\. С помощью утилиты `ksmg-control` выгрузите настройки в файл `settings.xml`: ```bash sudo /opt/kaspersky/ksmg/bin/ksmg-control --get-settings EventLogger -n -f /tmp/settings.xml ``` 3\. Убедитесь, что параметры файла `/tmp/settings.xml `имеют следующие значения, при необходимости внесите изменения: ```xmlИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Настройка отправкм логов для актуальной версии KSMG 2.1.1VA доступно из справки - [https://support.kaspersky.com/KSMG/2.1.1VA/ru-RU/218660.htm](https://support.kaspersky.com/KSMG/2.1.1VA/ru-RU/218660.htm)
### Настройка передачи событий KSMG в KUMAДанная инструкция применима для KSMG версии 2.0
Чтобы настроить передачу событий KSMG в KUMA: 1\. Подключитесь к серверу KSMG по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode. 2\. Внесите следующие изменения в файл с параметрами экспорта событий `/opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template`: ```json "siemSettings": { "enabled": true, "facility": "Local2", "logLevel": "Info", "formatting": { ``` Прочие параметры оставьте без изменений.Перед внесением изменений в файл `/etc/rsyslog.conf` рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.
3\. В файле `/etc/rsyslog.conf` измените строку: ```bash *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages ``` на ```bash *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;local2.none /var/log/messages ``` 4\. Добавьте в файл `/etc/rsyslog.conf `следующую строку: ```bash local2.* -/var/log/ksmg-cef-messages ``` 5\. Создайте файл `/var/log/ksmg-cef-messages` и настройте права доступа к нему. Для этого выполните команды: ```bash touch /var/log/ksmg-cef-messages chown root:klusers /var/log/ksmg-cef-messages chmod 640 /var/log/ksmg-cef-messages ``` 6\. Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл `/etc/logrotate.d/ksmg-syslog` следующие строки: ```bash /var/log/ksmg-cef-messages { size 500M rotate 10 notifempty sharedscripts postrotate /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true endscript } ``` 7\. Перезапустите сервис rsyslog с помощью следующей команды: ```bash service rsyslog restart ```Если вам не требуется сохранять файлы локально, пропустите шаги 4–7 из инструкции выше
8\. В веб-интерфейсе приложения в разделе **Параметры **→ **Журналы и события** → **События** внесите изменение в значение любого параметра и нажмите на кнопку **Сохранить**. Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра. 9\. Внесите следующие изменения в файл `/etc/rsyslog.conf`: ```bash $ActionQueueFileName ForwardToSIEM $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @В случае если события не поступают перезапустите сервис rsyslog несколько раз
--- ### Полезные ссылки Публикация событий в SIEM-систему (онлайн-справка KSMG): [https://support.kaspersky.com/KSMG/2.0.1/ru-RU/151504.htm ](https://support.kaspersky.com/help/KSMG/2.0.1/ru-RU/151504.htm) # KWTS 6.0Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254373.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254373.htm)
### Настройка передачи событий KWTS в KUMAДанная инструкция применима для KWTS версии 6.0
Чтобы настроить передачу событий KWTS в KUMA: 1\. Подключитесь к серверу KWTS по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.Перед внесением изменений создайте резервные копии следующих файлов: - `/opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template` - `/etc/rsyslog.conf`
2\. Внесите следующие изменения в файл с параметрами экспорта событий `/opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template`: ```json "siemSettings": { "enabled": true, "facility": "Local5", "logLevel": "Info", "formatting": { ``` Прочие параметры оставьте без изменений. 3\. Внести изменения в файл `/etc/rsyslog.conf` : ```bash $WorkDirectory /var/lib/rsyslog $ActionQueueFileName ForwardToSIEM $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local5.* @Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/240690.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/240690.htm)
### Настройка KATA Для настройки пересылки событий из KATA в SIEM KUMA необходимо выполнить следующие действия: 1\. Перейти в веб-консоль центрального узла Kaspersky Anti Targeted Attack из-под учетной записи Администратора, предварительно отметив параметр **Local administrator**  2\. Перейти в раздел **Settings** – **SIEM System** и настроить параметры отправки событий в KUMA SIEM: **Host/IP**: ip или fqdn адрес коллектора KUMA **Port**: порт коллектора KUMA **Protocol**: TCP или UDP **Host ID**: напр., kata-cn **Heartbeat**: интервал в минутах  --- ### Настройка KUMA После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Kaspersky Anti Targeted Attack Platform. 1\. На шаге **Транспорт** укажите тип и порт в соответствии с настройками на стороне KATA. 2\. На шаге **Парсинг** событий выберите нормализатор **\[OOTB\] KATA.** 3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения: - **Хранилище**. Для отправки обработанных событий в хранилище. - **Коррелятор**. Для отправки обработанных событий в коррелятор. Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их. 4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 5\. Скопируйте появившуюся команду для установки коллектора KUMA. --- ### Полезные ссылки Настройка получения событий KATA/EDR (онлайн-справка KUMA): [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/240690.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/240690.htm) # KATA/NDR 7.0Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Данная инструкция предназначена строго для версии KATA/NDR **7.0**. Инструкция для предыдущих версии находится в соответствующем разделе базы знаний.
Данная способ позволяет собирать события **NDR**. Для сбора событий **KATA** воспользуйтесь соответствующей инструкцией.
### Настройка KATA/NDR Для настройки пересылки событий из KATA/NDR в SIEM KUMA необходимо выполнить следующие действия: 1\. Перейти в веб-консоль KATA/NDR из-под учетной записи Администратора 2\. Перейти в раздел **Параметры** – **Коннекторы** и нажать на кнопку **Добавить коннектор**  3\. В открывшемся окне настроить параметры отправки событий в KUMA SIEM: **Тип коннектора**: SIEM; **Имя коннектора**: произвольное название, например, *KUMA Syslog;* **Адрес сервера**: 127.0.0.1; **Узел размещения коннектора**: выбрать нужный из выпадающего списка; **Пользователь программы**: выбрать нужного из выпадающего списка; **Адрес SIEM сервера**: IP-адрес сервера коллектора KUMA; **Номер порта**: порт коллектора KUMA; **Транспортный протокол**: TCP или UDP. **Разрешить отправку записей аудита**: вкл, если требуется передача событий аудита **Разрешить отправку сообщений программы**: вкл, если требуется передача сообщений программы  3\. По завершении заполнения необходимых полей нажать кнопку **Сохранить**. В результате в интерфейсе KATA/NDR созданный коннектор перейдет в состояние **Работает**.  --- ### Настройка отправки событийПо умолчанию события безопасности KATA/NDR не передаются ни в какие смежные системы, о чем свидетельствует колонка **Тип события** - **Не отправляются**. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.
Для настройки отправки событий необходимо: 1\. Войти в интерфейс KATA/NDR от имени пользователя **Старший офицер безопасности** 2\. Перейти на вкладку **Параметры** – **Типы событий** 3\. Выбрать один или несколько типов событий, которые необходимо передавать 4\. Нажать на кнопку **Выбрать коннекторы** 5\. Установить флаг напротив тех систем, в которые необходимо предавать выбранные события 6\. Подтвердить выбор нажатием кнопки **ОК**  После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора  --- ### Настройка KUMA После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KATA/NDR. 1\. На шаге **Транспорт** укажите тип и порт в соответствии с настройками на стороне KATA/NDR. Также обязательно задайте в качестве разделителя **\\0**. 2\. На шаге **Парсинг** событий выберите соответствующий нормализаторИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm)
### Настройка KEDR Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.1, выполните следующие действия на стороне Kaspersky Endpoint Detection and Response: 1\. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал. 2\. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response. Отобразится меню администратора компонента программы. 3\. В меню администратора компонента программы выберите режим Technical Support Mode. 4\. Нажмите на клавишу Enter. Отобразится окно подтверждения входа в режим Technical Support Mode. 5\. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter. 6\. Выполните команду ```bash sudo -i ``` 7\. В конфигурационном файле `/etc/sysconfig/apt-services` в поле `KAFKA_PORTS` удалите значение `10000`.Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту `10000`.
Настоятельно не рекомендуется использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду:
`iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP`
8\. Выполните команду ```bash systemctl restart apt_ipsec.service ``` 9\. В конфигурационном файле `/usr/bin/apt-start-sedr-iptables` в поле `WEB_PORTS` добавьте значение `10000` через запятую без пробела. 10\. Выполните команду ```bash sudo sh /usr/bin/apt-start-sedr-iptables ``` --- ### Настройка KUMA 1\. На сервере KUMA добавьте IP-адрес сервера Central Node в формате `Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234627.htm)
### Настройка KEDRПри импорте событий из Kaspersky Endpoint Detection and Response 5.0 действует ряд ограничений: - Импорт событий доступен только для неотказоустойчивой версии Kaspersky Endpoint Detection and Response. - Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR. - Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.
Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 5.0, выполните следующие действия на стороне Kaspersky Endpoint Detection and Response: 1\. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал. 2\. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response. Отобразится меню администратора компонента программы. 3\. В меню администратора компонента программы выберите режим Technical Support Mode. 4\. Нажмите на клавишу Enter. Отобразится окно подтверждения входа в режим Technical Support Mode. 5\. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter. 6\. Выполните команду ```bash sudo -i ``` 7\. В конфигурационном файле `/usr/local/lib/python3.8/dist-packages/firewall/create_iptables_rules.py` укажите дополнительный порт `10000` для константы `WEB_PORTS`: ```bash WEB_PORTS = f'10000,80,{AppPort.APT_AGENT_PORT},{AppPort.APT_GUI_PORT}' ``` Для **KATA 6.0** файл находится по пути `/opt/venv/lib/python3.11/site-packages/firewall/create_iptables_rules.py` и строку надо отредактировать в таком виде: ``` WEB_PORTS = '10000,80,' + ','.join( ``` 8\. Выполните команды:Кластерная подсеть по умолчанию: 198.18.0.0/16
```bash kata-firewall stop kata-firewall start --cluster-subnet <маска сети для адресации серверов кластера> ``` --- ### Настройка KUMA 1\. На сервере KUMA добавьте IP-адрес сервера Central Node в формате `**✔️ Рекомендуется** - Рекомендуемый способ сбора для этого источника событий
Данная инструкция предназначена для версии KUMA с 3.0.2+, а также версий KATA 5.1+
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm](https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm)
### Создание секрета Для подключения KEDR со стороны KUMA по API необходимо создать секрет для аутентификации. Для этого выполните следующие действия: 1\. В веб-интерфейсе KUMA перейдите на вкладку **Ресурсы → Секреты** и нажмите на кнопку **Добавить**. 2\. Укажите **Имя** секрета, выберите **Тенант**, к которому будет относиться создаваемый секрет. 3\. Нажмите **Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения**, после чего произойдет скачивание архива. 4\. Распакуйте архив. Внутри будут файл сертификата и файл закрытого ключа. 5\. Укажите **Файл сертификата** и **Закрытый ключ** в соответствии с рисунком:  6\. Сохраните секрет --- ### Настройка коллектора После того как был создан секрет, требуется создать коллектор в веб-интерфейсе KUMA для событий KEDR. 1\. На шаге **Транспорт** укажите тип **kata/kedr** и **URL** в формате <IP-адрес или FQDN CN KATA>:<порт, по умолчанию 443>), в поле **Секрет** укажите ранее созданный секрет.  2\. На шаге **Парсинг** событий выберите нормализатор **\[OOTB\] KEDR telemetry**. 3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения: \- **Хранилище**. Для отправки обработанных событий в хранилище. \- **Коррелятор**. Для отправки обработанных событий в коррелятор. Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их. 4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 5\. Скопируйте появившуюся команду для установки коллектора KUMA.В **Дополнительных параметрах** транспорта параметр **Время ожидания получения событий** означает время, за которое KATA собирает события для отправки.
--- ### Настройка KATA Для настройки сбора событий телеметрии из KATA в SIEM KUMA необходимо выполнить следующие действия: 1\. Перейти в веб-консоль центрального узла Kaspersky Anti Targeted Attack из-под учетной записи Администратора, предварительно отметив параметр **Local administrator**  2\. Перейти в раздел **External systems** и нажать **Accept** (для дальнейшего удобства вы можете изменить содержимое поля **Name,** например, на KUMA). Также следует проверить, что значение в поле **ID** совпадает со значением поля **Внешний ID** в настройках транспорта коллектора KUMA.  --- ### Полезные ссылки Подробные сведения о получении событий от Kaspersky Endpoint Detection and Response: [https://support.kaspersky.com/KATA/5.1/ru-RU/248949.htm](https://support.kaspersky.com/KATA/5.1/ru-RU/248949.htm) Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr: [https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm](https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm) # KICS 3.1 и нижеИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Данная инструкция предназначена строго для версии KICS for Networks **3.1 или ниже**. Инструкция для версии 4.0 и выше находится в соответствующем разделе базы знаний.
### Настройка KICS for Networks Для настройки пересылки событий из KICS4Net в SIEM KUMA необходимо выполнить следующие действия: 1\. Перейти в веб-консоль KICS for Networks из-под учетной записи Администратора 2\. Перейти в раздел **Параметры** – **Коннекторы** и настроить параметры отправки событий в KUMA SIEM: **Тип коннектора**: SIEM; **Имя коннектора**: произвольное название, например, *KUMA;* **Адрес сервера**: IP-адрес MGMT интерфейса сервера KICS for Networks; **Адрес узла коннектора**: IP-адрес узла, на котором Вы устанавливаете коннектор (Если используется коннектор, располагаемый на сервере KICS for Networks, то указывается IP адрес MGMT интерфейса сервера. Если пакет с коннектором будет установлен на другом узле, то необходимо указать IP адрес этого узла); **Пароль для доступа к сертификату коннектора**: пароль для архива с сертификатом сервера KICS for Networks, который будет сформирован после применения настроек коннектора; **Адрес SIEM сервера**: IP-адрес сервера коллектора KUMA; **Номер порта**: порт коллектора KUMA; **Транспортный протокол**: TCP или UDP. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/kics1.png) 3\. По завершении заполнения необходимых полей нажать кнопку **Сохранить**. После сохранения настроек в списке коннекторов появится созданный коннектор. Для KICS for Networks 3.1 и ниже автоматически загрузится файл свертки с сертификатом сервера KICS for Networks, который необходимо перенести на узел, где установлен коннектор. Вновь созданный коннектор перейдет в режим **Ожидание регистрации** до того момента, как вы создадите службу на узле, где установлен коннектор. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/kics2.png) 4\. Для создании службы необходимо на узле, где установлен коннектор, перейти в раздел `/opt/kaspersky/kics4net-connectors/sbin` ```bash cd /opt/kaspersky/kics4net-connectors/sbin ``` и запустить скрипт `registrar.py` ```bash python3 registrar.py create ``` Далее потребуется указать имя коннектора, имя архива с файлом свертки и пароль к архиву файла свертки, подтвердить запуск службы после ее создания. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/kics3.png) В результате в интерфейсе KICS for Networks созданный коннектор перейдет в состояние **Зарегистрирован**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/kics4.png) --- ### Настройка отправки событийПо умолчанию события безопасности KICS for Networks не передаются ни в какие смежные системы, о чем свидетельствует колонка **Тип события** - **Не отправляются**. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.
Для настройки отправки событий необходимо: 1\. Перейти на вкладку **Параметры** – **Типы событий** 2\. Выбрать один или несколько типов событий, которые необходимо передавать 3\. Нажать на кнопку **Выбрать коннекторы** 4\. Установить флаг напротив тех систем, в которые необходимо предавать выбранные события 5\. Подтвердить выбор нажатием кнопки **ОК** [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/kics5.png) После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/kics6.png) --- ### Настройка KUMA После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KICS for Networks. 1\. На шаге **Транспорт** укажите тип и порт в соответствии с настройками на стороне KICS for Networks. 2\. На шаге **Парсинг** событий выберите нормализатор **\[OOTB\] KICS4Net v3.х**. 3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения: - **Хранилище**. Для отправки обработанных событий в хранилище. - **Коррелятор**. Для отправки обработанных событий в коррелятор. Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их. 4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 5\. Скопируйте появившуюся команду для установки коллектора KUMA. --- ### Полезные ссылки Настройка создания коннектора KICS for Networks (онлайн-справка KICS for Networks): [https://support.kaspersky.com/help/KICSforNetworks/3.1/ru-RU/136497.htm](https://support.kaspersky.com/help/KICSforNetworks/3.1/ru-RU/136497.htm) # KICS 4.0 и вышеИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Данная инструкция предназначена строго для версии KICS for Networks **4.0 или ниже**. Инструкция для версии 3.1 и ниже находится в соответствующем разделе базы знаний.
### Настройка KICS for Networks Для настройки пересылки событий из KICS for Networks в SIEM KUMA необходимо выполнить следующие действия: 1\. Перейти в веб-консоль KICS for Networks из-под учетной записи Администратора 2\. Перейти в раздел **Параметры** – **Коннекторы** и настроить параметры отправки событий в KUMA SIEM: **Тип коннектора**: SIEM; **Имя коннектора**: произвольное название, например, *KUMA;* **Адрес сервера**: IP-адрес MGMT интерфейса сервера KICS for Networks; **Адрес узла коннектора**: IP-адрес узла, на котором Вы устанавливаете коннектор (Если используется коннектор, располагаемый на сервере KICS for Networks, то указывается IP адрес MGMT интерфейса сервера. Если пакет с коннектором будет установлен на другом узле, то необходимо указать IP адрес этого узла); **Пароль для доступа к сертификату коннектора**: пароль для архива с сертификатом сервера KICS for Networks, который будет сформирован после применения настроек коннектора; **Адрес SIEM сервера**: IP-адрес сервера коллектора KUMA; **Номер порта**: порт коллектора KUMA; **Транспортный протокол**: TCP или UDP. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/kics1.png) 3\. По завершении заполнения необходимых полей нажать кнопку **Сохранить**. Начиная с версии 4.0 коннектор автоматически осуществит регистрацию в продукте. В результате в интерфейсе KICS for Networks созданный коннектор перейдет в состояние **Зарегистрирован**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/kics4.png) --- ### Настройка отправки событийПо умолчанию события безопасности KICS for Networks не передаются ни в какие смежные системы, о чем свидетельствует колонка **Тип события** - **Не отправляются**. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.
Для настройки отправки событий необходимо: 1\. Перейти на вкладку **Параметры** – **Типы событий** 2\. Выбрать один или несколько типов событий, которые необходимо передавать 3\. Нажать на кнопку **Выбрать коннекторы** 4\. Установить флаг напротив тех систем, в которые необходимо предавать выбранные события 5\. Подтвердить выбор нажатием кнопки **ОК** [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/kics5.png) После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/kics6.png) --- ### Настройка KUMA После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KICS for Networks. 1\. На шаге **Транспорт** укажите тип и порт в соответствии с настройками на стороне KICS for Networks. 2\. На шаге **Парсинг** событий выберите соответствующий нормализатор. 3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения: - **Хранилище**. Для отправки обработанных событий в хранилище. - **Коррелятор**. Для отправки обработанных событий в коррелятор. Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их. 4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 5\. Скопируйте появившуюся команду для установки коллектора KUMA. --- ### Полезные ссылки Настройка создания коннектора KICS for Networks (онлайн-справка KICS for Networks): [https://support.kaspersky.com/help/KICSforNetworks/4.0/ru-RU/136497.htm](https://support.kaspersky.com/help/KICSforNetworks/4.0/ru-RU/136497.htm) # Microsoft Подключение источников производителя Microsoft # MS DNSИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Для KUMA 3.2 добавился новый способ сбора DNS логов в формате ETW. Подробнее в статье: [https://kb.kuma-community.ru/books/podkliucenie-istocnikov/page/ms-etw-dns-analytics-kuma-32](https://kb.kuma-community.ru/books/podkliucenie-istocnikov/page/ms-etw-dns-analytics)
### Настройка DNS сервера Передача событий из MS DNS в KUMA осуществляется путем чтения лог файла DNS. По умолчанию запись событий в файл на DNS сервере выключена. Чтобы включить логирование событий DNS в файл необходимо для начала создать папку, в которую будут записываться файлы событий DNS. Например, `C:\dns`. После создания папки необходимо разрешить общий доступ на чтение к этой папке. Рекомендуется создать отдельного пользователя для этой операции. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/y0limage.png) Далее необходимо запустить оснастку **DNS Manager**, выбрать нужный DNS сервер и перейти в свойства.  В свойствах сервера необходимо перейти на вкладку **Debug Logging**, включить расширенное логирование и задать путь к файлу, в который будут записывать слоги DNS сервера. Размер лог файла рекомендуется 50 Мб.  --- ### Монтирование папки в KUMA Для чтения файла логов коллектором KUMA необходимо примонтировать папку содержащую логи DNS сервера на сервер коллектора KUMA. Для начала необходимо установить утилиту **cifs**, если она еще не установлена. ``` yum install -y cifs-utils ``` Далее необходимо создать файл с учетными данными пользователя для доступа к общей папке `/root/.dns-secret` со следующим содержимым: ```bash username=<имя пользователя с правами на чтение папки> password=<пароль пользователя> domain=<домен, в случае доменного пользователя> ``` Далее нужно создать папку на сервере коллектора KUMA, куда будет примонтирована папка с логами DNS сервера. ``` mkdir /mnt/dns ``` Далее в конец файла **/etc/fstab** необходимо добавить строку ```bash \\<путь к общей папке сервера> <путь монтирования> cifs credentials=<файл с учетными данными>,cache=none 0 0 ``` Пример: ```bash \\dc-01.sales.lab\dns /mnt/dns cifs credentials=/root/.dns-secret,cache=none 0 0 ``` Далее необходимо примонтировать общую папку командой: ```bash mount -a ``` Для проверки успешности монтирования можно выполнить следующую команду: ```bash ls /mnt/dns ``` В выводе консоли должен присутствовать файл логов DNS сервера с правами на чтение для всех пользователей [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/kc2image.png) --- ### Создание коллектора KUMA Для создания коллектора KUMA необходимо в веб-консоли KUMA перейти на вкладку **Ресурсы – Коллекторы** и нажать на кнопку **Добавить коллектор**. Также можно на вкладке **Ресурсы** выбрать пункт **Подключить источник**. В обоих случая откроется мастер подключения источников событий. На первом шаге мастера необходимо выбрать **Тенант**, которому будет принадлежать коллектор и также задать **Имя** коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/meWimage.png) На втором шаге мастера необходимо выбрать тип подключения file и указать **папку** сервера коллектора, куда примонтирована папка с логами DNS сервера. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/IWbimage.png) На третьем шаге мастера необходимо выбрать предустановленный нормализатор **\[OOTB\] DNS Windows**. В случае отсутствия указанного нормализатора, обратитесь к своему менеджеру для его получения. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/Zmpimage.png) Шаги мастера с четвертого по шестой можно пропустить, либо заполнить позднее по своему усмотрению. На седьмом шаге мастера необходимо указать точки назначения типа **Хранилище**, если требуется сохранение событий в БД и типа **Коррелятор**, если требуется корреляция событий. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/FtKimage.png) На последнем шаге мастера необходимо нажать на кнопку **Сохранить и создать сервис**, после чего скопировать появившуюся команду для дальнейшей установки сервиса коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/SL0image.png) В результате на вкладке **Ресурсы – Активные сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/T8Fimage.png) --- ### Установка коллектора KUMA Для установки сервиса коллектора необходимо подключиться к консоли сервера коллектора KUMA. Для установки сервиса коллектора необходимо выполнить скопированную команду. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/mG3image.png) В результате статус коллектора в веб-интерфейсе KUMA изменится на **зеленый**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/IaVimage.png) Для проверки поступления событий выберите соответствующий коллектор (галочка слева) и нажмите на кнопку **Перейти к событиям**. В открывшемся окне события при нажатии на значок лупы должны появиться события DNS сервера. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/qpzimage.png) # MS DHCPИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройка DHCP сервера Передача событий из MS DHCP в KUMA осуществляется путем чтения лог файлов DHCP. Откройте оснастку DHCP и убедитесь, что для DHCP сервера включено логирование.  События DHCP сервера пишутся в папку `C:\Windows\system32\dhcp\`. Для данной папки необходимо включить общий доступ на чтение.  После предоставления общего доступа у папки должен быть статус **Shared**.  --- ### Монтирование папки в KUMA Для чтения файла логов коллектором KUMA необходимо примонтировать папку содержащую логи DHCP сервера на сервер коллектора KUMA. Для начала необходимо установить утилиту **cifs**, если она еще не установлена. ```bash yum install -y cifs-utils ``` Далее необходимо создать файл с учетными данными пользователя для доступа к общей папке **/root/.dhcp-secret** со следующим содержимым: ```bash username=<имя пользователя с правами на чтение папки> password=<пароль пользователя> domain=<домен, в случае доменного пользователя> ``` Далее нужно создать папку на сервере коллектора KUMA, куда будет примонтирована папка с логами DNS сервера. ```bash mkdir /mnt/dhcp ``` Далее в конец файла `/etc/fstab` необходимо добавить строку ```bash \\<путь к общей папке сервера> <путь монтирования> cifs credentials=<файл с учетными данными> 0 0 ``` Пример: ```bash \\dc-01.sales.lab\dhcp /mnt/dhcp cifs credentials=/root/.dhcp-secret 0 0 ``` Далее необходимо примонтировать общую папку командой: ``` mount -a ``` Для проверки успешности монтирования можно выполнить следующую команду: ``` ls /mnt/dhcp ``` В выводе консоли должны присутствовать файлы логов DHCP сервера с правами на чтение для всех пользователей [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/yr9image.png) --- ### Создание коллектора KUMA Для создания коллектора KUMA необходимо в веб-консоли KUMA перейти на вкладку **Ресурсы – Коллекторы** и нажать на кнопку **Добавить коллектор**. Также можно на вкладке **Ресурсы** выбрать пункт **Подключить источник**. В обоих случая откроется мастер подключения источников событий. На первом шаге мастера необходимо выбрать **Тенант**, которому будет принадлежать коллектор и также задать **Имя коллектора**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/0uiimage.png) На втором шаге мастера необходимо выбрать тип подключения **file** и указать **маску пути** для файлов логов DHCP сервера. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/ZJlimage.png) Поддерживаемые маски: - `*` – соответствует любой последовательности символов; - `[' [ '^' ] { диапазон символов } ']` – класс символов (не должен быть пустым); - `?` – соответствует любому одиночному символу. Диапазоны символов: - `[0-9]` – числа; - `[a-zA-Z]` – буквы латинского алфавита. Примеры: - `/var/log/*som?[1-9].log` - `/mnt/dns_logs/*/dns.log` - `/mnt/proxy/access*.log` На третьем шаге мастера необходимо выбрать предустановленный нормализатор **\[OOTB\] MS DHCP file**. В случае отсутствия указанного нормализатора, обратитесь к своему менеджеру для его получения. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/HUwimage.png) Шаги мастера с четвертого по шестой можно пропустить, либо заполнить позднее по своему усмотрению. На седьмом шаге мастера необходимо указать точки назначения типа **Хранилище**, если требуется сохранение событий в БД и типа **Коррелятор**, если требуется корреляция событий. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/Vf2image.png) На последнем шаге мастера необходимо нажать на кнопку **Сохранить и создать сервис**, после чего скопировать появившуюся команду для дальнейшей установки сервиса коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/EVwimage.png) В результате на вкладке **Ресурсы – Активные сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/Sa0image.png) --- ### Установка коллектора KUMA Для установки сервиса коллектора необходимо подключиться к консоли сервера коллектора KUMA. Для установки сервиса коллектора необходимо выполнить скопированную команду. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/pHQimage.png) В результате статус коллектора в веб-интерфейсе KUMA изменится на **зеленый**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/p6Kimage.png) Для проверки поступления событий выберите соответствующий коллектор (галочка слева) и нажмите на кнопку **Перейти к событиям**. В открывшемся окне события при нажатии на значок лупы должны появиться события DHCP сервера. # MS WMIИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### ### Схема работы сбора по WMI  ### Настройка аудита отдельного сервера Для настройки аудита на рядовом сервере/рабочей станции необходимо: Запустить оснастку **Local Security Policy - secpol.msc** [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/ktWimage.png) Перейти в раздел Параметры безопасности/Локальные политики/Политика аудита и включить необходимые настройки аудита успешных и не успешных попыток. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/zhIimage.png) В общем случае, необходимо включить следующие параметры аудитаАудит входа в систему | Успех, Отказ; |
Аудит изменения политики | Успех, Отказ; |
Аудит системных событий | Успех, Отказ; |
Аудит событий схода в систему | Успех, Отказ; |
Аудит управления учетными записями | Успех, Отказ; |
Примеры рекомендованных политик можно найти [**тут**](https://kb.kuma-community.ru/books/kuma-how-to/page/poleznye-ssylki-po-ib)
--- ### Настройка аудита при помощи групповой политики Для централизованной настройки аудита при помощи групповых политик домена, необходимо запустить оснастку **Group Policy Management**, выбрать нужную политику и перейти к редактированию – запустится **Group Policy Management Editor**. На примере, представленном ниже, настройка аудита выполняется в рамках **Default Domain Policy**: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/TyVimage.png) В случае, если предполагается сбор журналов Windows c большого количества серверов, или если установка агентов на контроллеры домена не допускается, рекомендуется использовать перенаправление журналов на отдельные серверы с настроенной службой Windows Event Collector.Примеры рекомендованных политик можно найти [**тут**](https://kb.kuma-community.ru/books/kuma-how-to/page/poleznye-ssylki-po-ib)
--- ### Настройка сервера - источника событий На сервере – источнике событий должны быть запущены следующие сервисы: - Remote Procedure Call (RPC); - RPC Endpoint Mapper. Обозначенные выше сервисы могут быть запущены из оснастки **Службы** в Windows. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/mi1image.png) Также на сервере источнике событий должны быть открыты порты TCP: 135, 445, 5985, 49152-65535. Открыть данные порты для входящих подключений можно с помощью оснастки **Брандмауэра защитника Windows в режиме повышенной безопасности**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/eYximage.png) Для проверки доступности целевых серверов – источников событий с компьютера, на котором планируется установка wmi-агента можно выполнить следующую команду из PowerShell: ```powershell Get-WmiObject -Namespace "root\cimv2" -Class Win32_Process -Impersonation 3 -ComputerNameУказываем IP в полях Хост и Домен в случае, если используется локальная УЗ на системе для собора логов, иначе имя хоста и его домен. В параметрах Секрет НЕ указывайте домен, достаточно использовать логин и пароль.
В общих параметрах точки назначения необходимо указать тип **http** (должен совпадать с настройками коллектора). URL нужно указать в формате **fqdn:port** (FQDN коллектора и порт, должны совпадать с настройками коллектора). [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/q31image.png) **Для версии 3.0+ параметр State (Состояние) должен быть включен:** [](https://kb.kuma-community.ru/uploads/images/gallery/2024-11/cxFimage.png) В дополнительных параметрах необходимо указать **Режим TLS С верификацией**, если требуется шифровать соединение между коллектором и агентом (настройка должна совпадать с соответствующей на стороне коллектора). Разделитель необходимо указать **\\0** (должен совпадать с настройками коллектора). Также на изображении ниже приведены дополнительные параметры и их рекомендуемые значения. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/USDimage.png) После указания всех параметров необходимо сохранить созданный ресурс агента. --- ### Публикация агента KUMA В разделе **Ресурсы – Активные сервисы** необходимо опубликовать созданную конфигурацию KUMA Windows Agent. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/xl0image.png) После публикации сервиса необходимо скопировать id данного сервиса для последующей установки на компьютере под управлением Windows. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/jZKimage.png) --- ### Установка агента KUMA Выполняется на сервере Windows, журналы которого необходимо направить в KUMA. Предварительно FQDN KUMA должен быть добавлен в файл **hosts** на целевой машине, либо добавлен в DNS-зону организации. - в файловой системе сервера рекомендуется создать папку `C:\Users\<имя пользователя>\Desktop\KUMA` - скопировать в нее бинарный файл kuma.exe Файл **kuma.exe** находится в архиве пакетов установки KUMA [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/Ooeimage.png) - запустить командную строку с правами администратора - примите лицензионное соглашение: `C:\Users\<имя пользователя>\Desktop\KUMA\kuma.exe license` - перейти в папку `C:\Users\<имя пользователя>\Desktop\KUMA` - назначить учетной записи пользователя, от имени которой будет запускаться агент права входа в качестве службы (см. [**Приложение Б**](https://kb.kuma-community.ru/books/sablony/page/ms-wec#bkmrk-%E2%80%83%D0%9F%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5-%D0%91.-%D0%9D%D0%B0%D0%B7%D0%BD%D0%B0)) и права на чтение журнала событий (см. [**Приложение А**](https://kb.kuma-community.ru/books/sablony/page/ms-wec#bkmrk-%E2%80%83%D0%9F%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5-%D0%90.-%D0%9D%D0%B0%D0%B7%D0%BD%D0%B0)). - запустить установку агента командой: ```powershell C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/248413.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/248413.htm)
### ### Схема работы сбора с WEC (Windows Event Collector)  ### Рекомендации для сервера WECПримеры рекомендованных политик можно найти [**тут**](https://kb.kuma-community.ru/books/kuma-how-to/page/poleznye-ssylki-po-ib)
#### Настройка политики аудита для группы рабочих станций/серверов средствами GPO При наличии опыта администрирования Windows инфраструктуры вы можете использовать наиболее привычный для Вас способ настройки. Ниже описан один из вариантов настройки. Создайте группу компьютеров средствами **«****Active Directory – пользователи и компьютеры». **Добавьте в данную группу рабочие станции/серверы, с которых предполагается сбор событий. Для того, чтобы изменения вступили в силу (в данном случае членство в новой группе), необходимо выполнить перезагрузку устройства. Альтернативным вариантом может быть перевыпуск Kerberos-тикетов для устройства с помощью klist.exe.Если предполагается сбор событий с контроллера домена, в таком случае, контроллер домена **можно не добавлять в созданную группу компьютеров**, добавив отдельно в **Фильтр безопасности** при настройке GPO
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/boNimage.png) На контроллере домена запустите оснастку **Управление групповой политикой** (нажмите **Win + R** -> **gpmc.msc**). Выберите существующий объект групповой политики или создайте новый. В данном примере создается новый объект групповой политики **Audit Policy** **for KUMA** (правой кнопкой мыши **Объекты групповой политики** -> **Создать** -> введите в имени **Audit Policy for KUMA**). [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/ibsimage.png) Далее выберите созданный объект групповой политики **Audit Policy** **for KUMA** и нажмите **Изменить.** В открывшемся **Редакторе управления групповыми политиками** перейдите в **Конфигурация компьютера** **-> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политики аудита** и настройте параметры аудита согласно скриншоту (при необходимости включите аудит оставшихся политик). [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/9Ouimage.png) Далее вернитесь в **Управление групповой политикой** **-> **выберите объект групповой политики **Audit Policy** **for KUMA -> **в окне справа **Фильтры безопасности** удалите группу **Прошедшие проверку** и добавьте группу **KUMA WEC.** [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/kaSimage.png) Нажмите правой кнопкой мыши на домен и выберите **Связать существующий объект групповой политики** **-> **выберите **Audit Policy for KUMA** и нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/T1Limage.png) Итоговый вид политики должен выглядеть следующим образом (см. скриншот). [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/islimage.png) В целом, групповые политики Active Directory можно назначать на OU, сайт или весь домен. Для того, чтобы новые параметры аудита, заданные в GPO, были применены на рабочих станциях/серверах Windows необходимо выполнить обновление групповых политик. Настройки групповых политик обновляются в следующих случаях: - перезагрузка устройства и вход пользователя - автоматически в фоновом режиме раз в 90 минут (+ случайное смещение времени) - вручную с помощью команды gpupdate (на рабочей станции/сервере) - вручную из консоли Group Policy Management Console (на контроллере домена, только для OU) - вручную с помощью командлета Invoke-GPUpdate Powershell (на контроллере домена) Для проверки успешного применения GPO запустите оснастку **Локальная политика безопасности** на одной из рабочих станций/сервере (нажмите WIN + R -> введите secpol.msc и запустите **Локальная политика безопасности** от имени администратора) -> перейдите в политику аудита (**Локальные политики** > **Политика аудита**) -> убедитесь, что параметры аудита соответствуют скриншоту. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/4egimage.png)Примеры рекомендованных политик аудита можно найти [**тут**](https://kb.kuma-community.ru/books/kuma-how-to/page/poleznye-ssylki-po-ib)
### Настройка WEC-сервера #### Настройка службы Windows Event Collector (WEC) Проверьте наличие запущенной службы WinRM на WEC-сервере с помощью следующей команды в PowerShell: ```powershell Test-WSMan ``` Вывод в случае если служба WinRM запущена: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/gnIimage.png) Если появилось сообщение, что «Клиенту не удается подключиться к узлу назначения, указанному в запросе. Убедитесь, что служба на узле назначения работает и принимает запросы», запустите на WEC-сервере службу WinRM с помощью следующей команды в PowerShell: ```bash winrm qc ``` При применении команды согласиться с выполнением изменений. После включения службы WinRM WEC-сервер начнет «прослушивать» соединения на порт TCP/5985 от источников событий. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/mt1image.png) Команда winrm qc одновременно включает Windows Remote Shell (WinRS) и разрешает принимать входящие соединения для удаленного управления через функционал WinRS. Отключить WinRS можно следующей командой: ```powershell winrm set winrm/config/Winrs ‘@{AllowRemoteShellAccess = "false"}’ winrm get winrm/config | findstr ‘AllowRemoteShellAccess’ # проверка, что WinRS отключен ``` Включите на WEC-сервере службу сборщика событий Windows («Сборщик событий Windows») с помощью следующей команды в PowerShell: ```powershell wecutil qc ``` При включении службы сборщика событий Windows в Windows Firewall автоматически создается разрешающее правило для входящих соединений по TCP/5985. #### Настройка подписки на WEC-сервере Нажмите кнопку **Win**, введите **eventvwr.msc** и запустите **Просмотр событий** от имени администратора. Выберите **Подписки** **-> **правой кнопкой мыши **Создать подписку** -> Укажите имя подписки, например, KUMA WEC и тип подписки **Инициировано исходным компьютером.** [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/jVTimage.png) Выберите группы компьютеров, события которых требуется собирать. В нашем примере – это KUMA WEC (**Выбрать группы компьютеров** -> **Добавить доменный компьютер** -> в поле **Введите имена выбираемых объектов** укажите ранее созданную группу компьютеров и нажмите **ОК**). В качестве альтернативы вместо группы компьютеров можно добавить необходимые рабочие станции/серверы по отдельности.Если предполагается сбор событий с контроллера домена, в таком случае, контроллер домена **можно добавить как отдельный доменный компьютер**
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/z1Simage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/Ppiimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/czRimage.png) **Задайте собираемые события **(**Выбрать события** -> Настройте параметры, как на скриншоте ниже). В данном **примере** с источников собираются следующие события (Рекомендованные ID события можно найти [**тут**](https://kb.kuma-community.ru/books/kuma-how-to/page/poleznye-ssylki-po-ib#bkmrk-windows)): 4624,4625,4662,4719,4720,4722,4724,4725,4726,4728,4729,4739,4740,4767,4768,4769,4771,5136. Нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/AyDimage.png) Далее перейдите в **Дополнительно** и для параметра **Оптимизация доставки событий** укажите **Уменьшенная задержка**. Нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/G07image.png)В одну подписку можно добавить **не более 22** уникальных Event ID (кодов событий). Если указать больше, то на стороне источников событий (Журналы приложений и служб/Microsoft/Windows/Eventlog-ForwardingPlugin/Operational) появится ошибка **"Не удается создать подписку <Наименование подписки>. Код ошибки: 5004."**, при этом события от источников перестанут поступать на WEC-сервер. Поэтому, если стоит задача собирать большое количество разных типов событий, в таком случае **создайте несколько подписок**, в каждой из которых будет свой уникальный набор Event ID. Если в подписке не задан фильтр по Event ID, то есть используется значение по умолчанию **"<Все коды событий>"**, ограничение в 22 уникальных Event ID отсутствует и выполняется сбор всех журналируемых событий.
При наличии одинаковых Event ID в разных подписках, события будут дублироваться, как на WEC-сервере, так и в KUMA. Поэтому при создании нескольких подписок проверьте наличие дубликатов Event ID.
[](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/iU4image.png) ### [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/TA1image.png) ### Настройка WinRM и подписки на источниках событий #### Для отдельной рабочей станции/сервера ##### Настройка службы WinRM Проверьте наличие запущенной службы WinRM на рабочей станции/сервере с помощью следующей команды в PowerShell: ```powershell Test-WSMan ``` Вывод в случае, если служба WinRM запущена: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/4Veimage.png) Если появилось сообщение, что «Клиенту не удается подключиться к узлу назначения, указанному в запросе. Убедитесь, что служба на узле назначения работает и принимает запросы», запустите на рабочей станции/сервере службу WinRM с помощью следующей команды в PowerShell: ```powershell winrm qc ``` При применении команды согласиться с выполнением изменений, **кроме** «Служба WinRM не настроена на разрешение удаленного управления компьютером. Разрешите исключение брандмауэра WinRM». [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/Qlyimage.png) После включения службы WinRM рабочая станция/сервер начнет «прослушивать» соединения на порт TCP/5985. Для отключения данного listener’а (т.к. рабочая станция/сервер инициирует соединение к WEC-серверу, выступая в качестве клиента) выполните следующую команду в PowerShell: ```powershell Remove-WSManInstance winrm/config/Listener -SelectorSet @{Address="*";Transport="http"} ``` Команда `winrm qc` одновременно включает Windows Remote Shell (WinRS) и разрешает принимать входящие соединения для удаленного управления через функционал WinRS. Отключить WinRS можно следующей командой: ```powershell winrm set winrm/config/Winrs ‘@{AllowRemoteShellAccess = "false"}’ winrm get winrm/config | findstr ‘AllowRemoteShellAccess’ # проверка, что WinRS отключен ``` На источнике событий требуется предоставить доступ к журналам аудита службе WinRM путем включения встроенной учетной записи NT AUTHORITY \\ NETWORK SERVICE (SID S-1-5-20) в локальную группу BUILTIN \\ Event Log Readers («Читатели журнала событий»). Для этого нажмите кнопку Win -> введите **lusrmgr****.msc** и запустите **Локальные пользователи и группы** от имени администратора. В появившемся окне выберите перейдите в **Группы** **->** выберите группу **Читатели журнала событий** **-> **правой кнопкой мыши **Свойства** **-> Добавить** -> в **Размещение** выберите имя рабочей станции -> в поле **Введите имена выбираемых объектов** укажите **NETWORK SERVICE** -> **Проверить имена** -> как только УЗ будет найдена нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/3lvimage.png)Для сбора событий журнала Security с контроллера домена необходимо предоставить доступ к журналу встроенной учетной записи NT AUTHORITY \\ NETWORK SERVICE (SID S-1-5-20), из-под которой запускается сервис WinRM. Для этого на контроллере домена в PowerShell выполните следующую команду: wevtutil sl security /ca:'O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)'
##### Настройка подписки Нажмите кнопку Win -> введите **Политики** и запустите **Изменение групповой политики** от имени администратора. В появившемся окне перейдите в **Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Пересылка событий -> Настроить конечный диспетчер подписки.** Выберите **Включено** и нажмите **Показать**. В появившемся окне введите параметры WEC-сервера: `Server=http://<обязательно FQDN (не IP !!!) WEC-сервера>:5985/wsman/SubscriptionManager/WEC,Refresh=60` где 60 – частота обращения (в секундах) источников событий к WEC-серверу за новыми инструкциями по пересылке журналов.Источники событий должны иметь возможность «резолвить» FQDN WEC-сервера для отправки событий. Для этого создайте A-запись на DNS-сервере или создайте запись локально в файле hosts
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/eJiimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/Hkeimage.png) После применения данной настройки перезапустите службу WinRM c помощью PowerShell-команды: ```powershell Restart-Service -Name WinRM ``` #### Для группы рабочих станций/серверов средствами GPO ##### Настройка службы WinRM При наличии опыта администрирования Windows инфраструктуры вы можете использовать наиболее привычный для Вас способ настройки. Ниже описан один из вариантов. На контроллере домена запустите оснастку **Управление групповой политикой** (нажмите Win + R -> gpmc.msc). Выберите ранее использовавшийся объект групповой политики **Audit Policy** **for KUMA** и нажмите **Изменить.** [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/s6Iimage.png) В открывшемся **Редакторе управления групповыми политиками** перейдите в **Конфигурация компьютера** **-> Конфигурация Windows -> Параметры безопасности -> Системные службы -> **в списке служб найдите «Служба удаленного управления Windows (WS-Management)» **-> Свойства ->** укажите параметры согласно скриншоту ниже. Нажмите **Применить** и **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/TJLimage.png) Далее перейдите в **Конфигурация компьютера** **-> Настройка -> Параметры панели управления -> Службы -> **справа в окне нажмите **Создать** **-> Службы ->** укажите параметры согласно скриншоту ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/eZfimage.png) Перейдите во вкладку **Восстановление** и укажите параметры согласно скриншоту ниже. Нажмите **Применить** и **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/JxRimage.png) Перейдите в **Конфигурация компьютера** **-> Политики -> Административные шаблоны -> Компоненты Windows -> Удаленное управление Windows -> Служба удаленного управления Windows ->** выберите **Разрешить удаленное администрирование сервера средствами** **WinRM** и укажите параметры согласно скриншоту ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/m4Qimage.png) Перейдите в **Конфигурация компьютера** **-> Политики -> Административные шаблоны -> Компоненты Windows -> Удаленное оболочка Windows ->** выберите **Разрешить доступ к удаленной оболочке** и укажите параметры согласно скриншоту ниже. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/p2Zimage.png) Также на источниках событий требуется предоставить доступ к журналам аудита службе WinRM путем включения встроенной учетной записи NT AUTHORITY \\ NETWORK SERVICE (SID S-1-5-20) в локальную группу BUILTIN \\ Event Log Readers («Читатели журнала событий»). Для этого выберите ранее использовавшийся объект групповой политики **Audit Policy** **for KUMA** и нажмите **Изменить.** В открывшемся **Редакторе управления групповыми политиками** перейдите в **Конфигурация компьютера** **-> Настройка -> Параметры панели управления -> **нажмите правой кнопкой мыши на **Локальные пользователи и группы** **-> Создать -> Локальная группа. **В появившемся окне укажите параметры согласно скриншоту ниже. Нажмите **Применить** и **ОК**.При добавлении члена локальной группы введите NETWORK SERVICE и нажмите ОК.
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/FPMimage.png) Для того, чтобы новые параметры групповой политики **Audit Policy** **for KUMA** были применены на рабочих станциях/серверах Windows необходимо выполнить обновление групповых политик. Настройки групповых политик обновляются в следующих случаях: - перезагрузка устройства и вход пользователя - автоматически в фоновом режиме раз в 90 минут (+ случайное смещение времени) - вручную с помощью команды gpupdate (на рабочей станции/сервере) - вручную из консоли Group Policy Management Console (на контроллере домена, только для GPO) - вручную с помощью командлета Invoke-GPUpdate Powershell (на контроллере домена) Проверьте наличие запущенной службы WinRM на одной из рабочих станций/сервере с помощью следующей команды в PowerShell: ```powershell Test-WSMan ``` Вывод в случае, если служба WinRM запущена: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/DKKimage.png) Убедитесь, что WinRS отключен с помощью следующей команды: ```powershell winrm get winrm/config | findstr ‘AllowRemoteShellAccess’ ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/Qvbimage.png) Убедитесь, что порт TCP/5985 не «прослушивается» (т.к. рабочая станция/сервер инициирует соединение к WEC-серверу, выступая в качестве клиента): ```shell netstat -aon -p TCP # выполнить в cmd ```Для сбора событий журнала Security с контроллера домена необходимо предоставить доступ к журналу встроенной учетной записи NT AUTHORITY \\ NETWORK SERVICE (SID S-1-5-20), из-под которой запускается сервис WinRM. Для этого на контроллере домена в PowerShell выполните следующую команду: wevtutil sl security /ca:'O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)'
##### Настройка подписки Выберите ранее использовавшийся объект групповой политики **Audit Policy** **for KUMA** и нажмите **Изменить.** В открывшемся **Редакторе управления групповыми политиками** перейдите в **Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Пересылка событий -> Настроить конечный диспетчер подписки.** Выберите **Включено** и нажмите **Показать**. В появившемся окне введите параметры WEC-сервера: `Server=http://<обязательно ``FQDN сервера-коллектора>:5985/wsman/SubscriptionManager/WEC,Refresh=60` где 60 – частота обращения (в секундах) источников событий к серверу за новыми инструкциями по пересылке журналов.Источники событий должны иметь возможность «резолвить» FQDN WEC-сервера для отправки событий. Для этого создайте A-запись на DNS-сервере или создайте запись локально в файле hosts
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/NVcimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/KYsimage.png) Для того, чтобы новые параметры групповой политики **Audit Policy** **for KUMA** были применены на рабочих станциях/серверах Windows необходимо выполнить обновление групповых политик. Настройки групповых политик обновляются в следующих случаях: - перезагрузка устройства и вход пользователя - автоматически в фоновом режиме раз в 90 минут (+ случайное смещение времени) - вручную с помощью команды gpupdate (на рабочей станции/сервере) - вручную из консоли Group Policy Management Console (на контроллере домена, только для OU) - вручную с помощью командлета Invoke-GPUpdate Powershell (на контроллере домена) ### Проверка поступления событий Убедитесь, что на WEC-сервер поступают события с рабочих станций/серверов. Для этого нажмите кнопку **Win**, введите **eventvwr.msc** и запустите **Просмотр событий** от имени администратора. Перейдите в **Журналы** **Windows -> Перенаправленные события. **Если в появившемся окне **Перенаправленные события** отображаются события с источников, значит подписка работает корректно. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/YXQimage.png)Для MS Server 2016 и 2019 в случае если события не пересылаются, выполнить шаги по **[этой инструкции](https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/admin-development/events-not-forwarded-by-windows-server-collector)**. При добавлении разрешения для URL-адреса с помощью **netsh http add urlacl** добавьте кавычки "..." в параметре SDDL: `netsh http delete urlacl url=http://+:5985/wsman/netsh http add urlacl url=http://+:5985/wsman/ sddl="D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)"netsh http delete urlacl url=https://+:5986/wsman/netsh http add urlacl url=https://+:5986/wsman/ sddl="D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)"`
В случае если определенный лог не отправляется от источника проверьте на нем в журнале `Microsoft/windows/event_forwardingPlugin/Operational` события с кодом 5004 ( --- ### Настройка коллектора и агента KUMA #### Создание коллектора KUMA ), если там есть такие события, то выполните рекомендации по этой статье: [https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/system-management-components/security-event-log-forwarding-fails-error-0x138c-5004](https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/system-management-components/security-event-log-forwarding-fails-error-0x138c-5004) Для создания коллектора в веб-интерфейсе KUMA перейдите на вкладку **Ресурсы** **->** **Коллекторы** и нажмите на кнопку **Добавить коллектор.** Также можно на вкладке **Ресурсы** нажать на кнопку **Подключить источник событий**. После выполнения вышеуказанных действий откроется мастер настройки. На первом шаге выберите **Имя коллектора** и **Тенант**, к которому будет принадлежать создаваемый коллектор. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/KuYimage.png) На втором шаге мастера укажите транспорт. В данном случае рекомендуется использовать http. В поле URL задайте FQDN/порт (выбирается любой из незанятых), на котором коллектор будет ожидать соединение от агента. В качестве разделителя укажите \\0.\*можно указать только порт при инсталляции All-in-one.
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/ts2image.png) На вкладке **Дополнительные параметры** для шифрованной передачи данных между агентом и коллектором выберите **Режим TLS - С верификацией**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/jwiimage.png) На третьем шаге мастера укажите нормализатор. В данном случае рекомендуется использовать предустановленный расширенный нормализатор для событий Windows актуальный для версии 3.2 - **\[OOTB\] Microsoft Products for KUMA 3.** [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/scaled-1680-/U4Mimage.png) Шаги мастера настройки с четвертого по шестой можно пропустить и вернуться к их настройке позднее. На седьмом шаге мастера задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище**. В случае если предполагается также корреляция по событиям добавьте точку назначения типа **Коррелятор**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/lqpimage.png) На завершающем шаге мастера нажмите на кнопку **Создать и сохранить сервис**. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/boQimage.png) Также после выполнения вышеуказанных действий на вкладке **Ресурсы** **->** **Активные сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/itPimage.png) #### Установка коллектора KUMA Выполните подключение к CLI KUMA (установка коллектора выполняется с правами root). Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/gH5image.png) При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы. ```shell firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent firewall-cmd --reload ``` После успешной установки сервиса его в статус в веб-консоли KUMA изменится на **зеленый**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/DETimage.png) #### Создание агента KUMA Для создания агента в веб-интерфейсе KUMA перейдите на вкладку **Ресурсы** **->** **Агенты** и нажмите на кнопку **Добавить агент**. В открывшейся вкладке **Общие параметры** укажите **Имя агента** и **Тенант**, к которому он будет принадлежать. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/nTkimage.png) На вкладке **Подключение 1** в параметрах коннектора задайте имя коннектора, тип wec и выберите из выпадающего списка журналы Windows типа ForwardedEvents. Также можно в ручном режиме задать дополнительные журналы Windows. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/ygSimage.png) В секции **Точки назначения** укажите имя точки назначения, тип **http **(должен совпадать с настройками коллектора). Задайте URL в формате **fqdn:port** (FQDN коллектора и порт, должны совпадать с настройками коллектора). [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/DnHimage.png) В дополнительных параметрах укажите **Режим TLS С верификацией**, если требуется шифровать соединение между коллектором и агентом (настройка должна совпадать с соответствующей на стороне коллектора). Укажите разделитель **\\0** (должен совпадать с настройками коллектора). Также на изображении ниже приведены дополнительные параметры и их рекомендуемые значения. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/eSkimage.png) После настройки дополнительных параметров сохраните созданный ресурс агента. #### Публикация агента KUMA В разделе **Ресурсы** -> **Активные сервисы** опубликуйте созданную конфигурацию KUMA Windows Agent. Для этого нажмите **Создать сервис** -> выберите созданный сервис агента Windows WEC Agent и нажмите **Создать сервис.** [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/8kHimage.png) После публикации сервиса скопируйте id данного сервиса для последующей установки на WEC-сервере. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/7Srimage.png) ### Установка агента KUMA #### Создание сервисной учетной записи Для функционирования агента KUMA необходимо создать доменную сервисную учетную запись, с помощью которой будет выполняться запуск агента KUMA и обеспечиваться доступ к журналам событий, полученных от источников (рабочих станций/серверов). [](https://kb.kuma-community.ru/uploads/images/gallery/2023-10/1PTimage.png) #### Добавление сервисной учетной записи в группу "Читатели журнала событий" На WEC-сервере добавьте созданную сервисную учетную запись в локальную группу **Читатели журнала событий**. Для этого нажмите кнопку **Win**, введите **lusrmgr.msc** и запустите **Локальные пользователи и группы** от имени администратора. В появившемся окне выберите перейдите в **Группы** **->** выберите группу **Читатели журнала событий** **-> **правой кнопкой мыши **Свойства** **-> Добавить** -> в поле **Введите имена выбираемых объектов** укажите **<имя сервисной учетной записи>** -> **Проверить имена** -> как только УЗ будет найдена нажмите **ОК**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/PSkimage.png) #### Назначение прав входа в качестве службы На WEC-сервере разрешите сервисной учетной записи вход в качестве службы. Для этого нажмите кнопку **Win**, введите **secpol.msc** и запустите **Локальная политика безопасности** от имени администратора. В появившемся окне выберите перейдите в **Локальные политики** **->** **Назначение прав пользователя**** -> **Выберите политику **Вход в качестве службы** -> правой кнопкой мыши **Свойства** -> **Добавить пользователя или группу** -> в поле **Введите имена выбираемых объектов** укажите <имя сервисной учетной записи> -> **Проверить имена** -> как только УЗ будет найдена нажмите **ОК**.  Дополнительно убедитесь, что соответствующая сервисная учетная запись отсутствует в свойствах политики **Отказать во входе в качестве службы.** #### Установка агента KUMA Выполняется на WEC-сервере, который обеспечивает прием событий от источников (рабочих станций/серверов). Предварительно FQDN Core KUMA должен быть добавлен в файл hosts на WEC-сервере, либо добавлен на DNS-сервере. На WEC-сервере рекомендуется создать папку **C:\\Users\\<имя пользователя>\\Desktop\\KUMA.** Далее скопируйте в данную папку исполняемый файл **kuma.exe.** Файл **kuma.exe **находится в архиве пакетов установки KUMA. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/iyiimage.png) Для установки агента KUMA запустите командную строку с правами администратора. Примите лицензионное соглашение: `C:\Users\<имя пользователя>\Desktop\KUMA\kuma.exe license` Перейдите в папку **C:\\Users\\<имя пользователя>\\Desktop\\KUMA** Запустите установку агента командой: ```shell C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://Если агент устанавливается из-под доменной учетной записи пользователь указывается в формате <домен>\\<имя учетной записи>, например, demo\\user
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/2Grimage.png) Во время установки сервиса система запросит пароль. Введите пароль сервисной доменной учетной записи. В результате, на WEC-сервере будет установлен сервис KUMA Windows Agent <Windows Agent ID>. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/HzAimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/guzimage.png) Если статус агента в веб-интерфейсе KUMA красный, необходимо удостовериться в доступности портов 7210 и порта коллектора Windows по направлению от агента к KUMA Collector. Для удаления сервиса агента KUMA по окончанию тестирования продукта выполните следующую команду: ```shell C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --idИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
При настройке подписки WEC через графический интерфейс не получится выбрать нужные для сбора журналы, если на сервере с WEC не установлены соответствующие роли Windows Server или ПО. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/dcwec.png) Чтобы выбрать журналы, которые фактически присутствуют на удаленном сервере, но не доступны для выбора на WEC, можно воспользоваться XML фильтром. Ниже приведен пример XML фильтра для сбора событий из стандартного журнала Security, а также из журнала, который присущ только контроллеру домена - Directory Service. ```xmlПоддерживается в KUMA с версии 3.2
Расширенное ведение журнала DNS и диагностика доступны по умолчанию с версии Windows Server 2016. Эта функция также доступна в Windows Server 2012 R2 при установке исправления для ведения журнала запросов и аудита изменений, доступного по адресу [https://support.microsoft.com/kb/2956577](https://support.microsoft.com/kb/2956577)
Event Tracing for Windows (ETW) - это механизм логирования различных событий, создаваемых приложениями и драйверами. Фактически является более расширенной версией стандартного журнала событий. Исторически ETW использовался для задач дебага при разработке, сейчас его можно использовать в том числе и для поиска вредоносной активности. Включение опции логирования ETW оказывает незначительное влияние на производительность (рекомендуется в нагруженных системах). Например, DNS-сервер, работающий на современном оборудовании и получающий 100 000 запросов в секунду (QPS), может испытывать снижение производительности на 5 % при включении аналитических журналов. Очевидного влияния на производительность при скорости запроса 50 000 QPS и ниже не наблюдается. Однако всегда желательно отслеживать производительность DNS-сервера всякий раз, когда включено дополнительное ведение журнала. ### Теория ETW состоит из трёх отдельных компонентов: - Провайдеры (Providers), в некоторых случаях зовутся поставщиками - Потребители (Consumers) - Контроллеры (Controllers) Провайдеры генерируют события, потребители их используют, а контроллеры управляют всей этой деятельностью. Провайдеры - это приложения, которые содержат функционал отправки событий в ETW. Примеры провайдеров: ядро Windows, драйвера устройств, user-mode приложения и другое ПО. Какие необходимо отправлять события решает разработчик в своём коде, упрощенно говоря, если выполняется важная с точки зрения разработчика функция (открывается доступ к SAM), то создается запись в ETW. Для отправки провайдеры регистрируются в контроллере, контроллер в свою очередь может включить или отключить источник событий. Отключенный источник события не генерирует. Пример контроллеров - это logman или wevtutil. Для связи между провайдером и потребителем контроллер использует так называемые сессии трассировки. Сессия служит в том числе для фильтрации необходимых данных по различными параметрам, потому что потребителю может быть нужна только одна часть информации, а другому потребителю - другая. Полезные ссылки: - [https://habr.com/ru/articles/502362/](https://habr.com/ru/articles/502362/) - [https://learn.microsoft.com/ru-ru/archive/blogs/teamdhcp/network-forensics-with-windows-dns-analytical-logging](https://learn.microsoft.com/ru-ru/archive/blogs/teamdhcp/network-forensics-with-windows-dns-analytical-logging) ### Настройка на стороне Windows Переходим в **EventViewer** (Выполнить -> eventvwr.msc). Далее переходим в **Журналы приложений и служб\\Microsoft\\Windows\\DNS-Server** (на англ. Applications and Services Logs\\Microsoft\\Windows\\DNS-Server)  Далее переходим в свойства Аналитического журнала:  Оставляем максимальный размер журнала по умолчнию в 1 Гб:  Нажимаем на **чекбокс Включить** ведение журнала, затем **ОК**  Должно получиться следующее:  Нажимаем **Применить** и **ОК**. При появлении следующего окна, не пугаемся, при **включенной ротации аналитического журнала события не отображаются в интерфейсе**, чтобы их увидеть (нам это не понадобится) нужно остановить журнал.   Далее необходимо перейти в **Управление компьютером** и открыть его от Админиcтратора. Переходим **Служебные программы - Производительность - Сеансы отслеживания событий запуска.**  Создаем группу сборщиков данных:  Задаем имя сборщика, например etwDNS-Analytics: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-06/unXimage.png) Добавляем поставщика **Microsoft-Windows-DNSServer**: Агент с коннектором ETW работает только с System.Provider.Guid: {EB79061A-A566-4698-9119-3ED2807060E7} - Microsoft-Windows-DNSServer
Нажимаем **Далее - Далее - Готово**. Запускаем созданного поставщика, как сеанс отслеживания событий: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-06/jWximage.png) Далее в сеансах отслеживания событий, в свойствах - **Сеансы отслеживания** указываем **Режим реального времени** [](https://kb.kuma-community.ru/uploads/images/gallery/2024-06/At5image.png) Нажимаем **Применить** и **ОК**. Чтобы просмотреть, какие типы событий можно отслеживать, выполните следующую команду в командной строке powershell: ```powershell logman query providers "Microsoft-Windows-DNSServer" ``` Пример вывода: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/YfUimage.png) ### Настройка коллектора и агента KUMA #### Создание коллектора KUMA Для создания коллектора в веб-интерфейсе KUMA перейдите на вкладку **Ресурсы** **->** **Коллекторы** и нажмите на кнопку **Добавить коллектор.** После выполнения вышеуказанных действий откроется мастер настройки. На первом шаге выберите **Имя коллектора** и **Тенант**, к которому будет принадлежать создаваемый коллектор.  На втором шаге мастера укажите транспорт. В нашем случае используется TCP (можно также использовать http и режимы с верификацией для защищенной отправки). В поле URL задайте FQDN/порт (выбирается любой из незанятых), на котором коллектор будет ожидать соединение от агента. В качестве разделителя укажите \\n.\*можно указать только порт при инсталляции All-in-one.
 На третьем шаге мастера укажите нормализатор. В данном случае рекомендуется использовать предустановленный расширенный нормализатор для событий Windows **\[OOTB\] Microsoft DNS ETW logs json.**  Шаги мастера настройки с четвертого по шестой можно пропустить и вернуться к их настройке позднее. На седьмом шаге мастера задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище**. В случае если предполагается также корреляция по событиям добавьте точку назначения типа **Коррелятор**. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-06/TkNimage.png) На завершающем шаге мастера нажмите на кнопку **Создать и сохранить сервис**. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки.  Также после выполнения вышеуказанных действий на вкладке **Ресурсы** **->** **Активные сервисы** появится созданный сервис коллектора. #### Установка коллектора KUMA Выполните подключение к CLI KUMA (установка коллектора выполняется с правами root). Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/gH5image.png) При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы. ```shell firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent firewall-cmd --reload ``` После успешной установки сервиса его в статус в веб-консоли KUMA изменится на **зеленый**. #### Создание агента KUMA Для создания агента в веб-интерфейсе KUMA перейдите на вкладку **Ресурсы** **->** **Агенты** и нажмите на кнопку **Добавить агент**. В открывшейся вкладке **Общие параметры** укажите **Имя агента** и **Тенант**, к которому он будет принадлежать.  На вкладке **Подключение 1** в параметрах коннектора задайте имя коннектора, тип etw и укажите имя сессии (это имя сборщика созданного на этапе настройки на стороне Windows) в нашем случае это etwDNS-Analytics.  В секции **Точки назначения** укажите имя точки назначения, тип **tcp **(должен совпадать с настройками коллектора). Задайте URL в формате **fqdn:port** (FQDN коллектора и порт, должны совпадать с настройками коллектора).  В дополнительных параметрах укажите размер дискового буфера в 1 Гб.  После настройки дополнительных параметров сохраните созданный ресурс агента. #### Публикация агента KUMA В разделе **Ресурсы** -> **Активные сервисы** опубликуйте созданную конфигурацию Agent ETW. Для этого нажмите **Создать сервис** -> выберите созданный сервис агента Agent ETW и нажмите **Создать сервис.** После публикации сервиса скопируйте его идентификатор нажатием на ПКМ данного сервиса для последующей установки агента на Windows сервере.  ### Установка агента KUMA #### Создание учетной записи Для функционирования агента KUMA необходимо создать либо доменную сервисную учетную запись, либо локальную УЗ с помощью которой будет выполняться запуск агента KUMA и обеспечиваться доступ к чтению аналитического журнала. Для УЗ требуются следующие группы и права: - **Пользователи журналов производительности (Performance Log Users group)** (чтение журнала, настройка в свойствах пользователя); - **Вход в качестве службы (Log on service)** (права на запуск сервиса агента, настройка в политиках безопасности).После запуска сервиса агента можно переключиться на системную локальную учетку (LocalSystem), сделать это можно через Services на Windows. Иногда такое целесообразно при ротации паролей в УЗ.
#### Установка агента KUMA Выполняется на Windows сервере, который обеспечивает прием событий от источников (рабочих станций/серверов). Предварительно FQDN Core KUMA должен быть добавлен в файл hosts на Windows сервере, либо добавлен на DNS-сервере. На Windows сервере рекомендуется создать папку **C:\\Users\\<имя пользователя>\\Desktop\\KUMA.** Далее скопируйте в данную папку исполняемый файл **kuma.exe.** Файл **kuma.exe **находится в архиве пакетов установки KUMA. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/iyiimage.png) Для установки агента KUMA запустите командную строку с правами администратора. Перейдите в папку **C:\\Users\\<имя пользователя>\\Desktop\\KUMA,** примите лицензионное соглашение: `/opt/kaspersky/kuma/kuma.exe license` Запустите установку агента командой: ```shell C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://Если агент устанавливается из-под доменной учетной записи пользователь указывается в формате <домен>\\<имя учетной записи>, например, demo\\user
 Во время установки сервиса система запросит пароль. Введите пароль сервисной доменной учетной записи. В результате, на Windows сервере будет установлен сервис KUMA Windows Agent <Windows Agent ID>. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/HzAimage.png) Если статус агента в веб-интерфейсе KUMA красный, необходимо удостовериться в доступности портов 7210 и порта коллектора Windows по направлению от агента к KUMA Collector. Для удаления сервиса агента KUMA по окончанию тестирования продукта выполните следующую команду: ```shell C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --idИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/3.0.3/ru-RU/239864.htm](https://support.kaspersky.com/help/KUMA/3.0.3/ru-RU/239864.htm "Настройка получения событий Kaspersky Security Center в формате CEF")
### Настройка на стороне Windows. #### Настройка сервиса SNMP В статье рассматривается настройка на ОС Windows XP. Перейдите в **Панель управления - Установка и удаление программ - Установка компонентов Windows.** Установите Средства управления и наблюдения и провайдер WMI SNMP (если есть). [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/mVuimage.png) Дождитесь завершения установки и перезагрузите компьютер. Убедитесь, что службы SNMP запущена (**Панель управления - Администрирование - Службы**): Служба SNMP (SNMP Service) и Служба ловушек SNMP (SNMP Trap). Если какие-то из перечисленных ниже служб не запущены - Запустите #### Настройка сервиса SNMP Перейдите в **Панель управления - Администрирование - Службы - Служба SNMP (Свойства) - Вкладка Ловушки** [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/1WUimage.png) Добавьте имя сообщества: **public** Адрес назначения ловушек: **<IP\_адрес\_коллектора>** На вкладке Безопасность: - Установите флажок: Посылать ловушку проверки подлинности (Send authentication trap) - В таблице Приемлемые имена сообществ (Accepted community names) добавьте сообщество: public, с правами READ WRITE - Установите флажок: Принимать пакеты SNMP от любого узла (Accept SNMP packets from any hosts) [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/QpGimage.png) Затем Применить и ОК. ### Настройки на стороне KUMA Создайте коллектор со следующим транспортом: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/avNimage.png) В дополнительных параметрах в случае Русской локали в ОС кажите явно кодировку: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/AXgimage.png)В качестве парсера рекомендуем использовать комьюнити нормализатор (предварительно импортируйте его в KUMA, пароль импорта: `q123123Q!`): [**ссылка**](https://box.kaspersky.com/f/276688a467c0420b84d6/)
Задайте маршрут куда отправлять обработанные события коллектором: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/F2Jimage.png) Нажмите сохранить и создать сервис, скопируйте строку установки и выполните ее в консоли SSH.SNMP использует порт **161 UDP** для общих сообщений, для ловушек используется порт **162 UDP**. Для прослушки порта SNMP обновите параметры службы в Linux (предварительно скопируйте ID коллектора), инструкция как настроить прослушку ниже 1024 порта в Linux: [**ссылка**](https://kb.kuma-community.ru/link/55#bkmrk-%D0%A1%D0%BB%D1%83%D1%88%D0%B0%D1%82%D1%8C-%D0%BD%D0%B0-514-%D0%BF%D0%BE%D1%80%D1%82%D1%83)
### Настройка аудита на стороне Windows Нажмите **Пуск - Выполнить** - Введите: **evntwin** [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/Cnjimage.png) - В переключателе Тип конфигурации (Configuration type) выберите особая (Custom), а затем нажмите на кнопку Правка (Edit) - В блоке параметров Источники событий (Event sources) найдите и добавьте с помощью кнопки Добавить (Add) события, которые вы хотите отправить в коллектор KUMA с установленным коннектором SNMP Trap (рекомендуется отправлять все из папки Security) - Нажмите на кнопку Settings, в открывшемся окне установите флажок Не применять глушитель (Don't apply throttle) и нажмите OK - Нажмите Применить (Apply) и ОК ### Генерация тестовых событий на Windows Создайте и удалите тестового пользователя в системе для генерации событий в **Панель управления - Администрирование - Управление компьютером - Локальные пользователи - Папка пользователи**. При корректных настройках в кума должно отобразиться событие: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/3kZimage.png) # Аналог netcat с помощью PowerShell на Windows Часто для проверки поступления события требуется специальные утилиты для отправки тестового сообщения с Windows машины на коллектор, в рамках этой статьи будет представлен скрипт на PowerShell , с помощью которого можно будет отправить тестовое сообщение по IP:PORT по протоколу TCP. Код скрипта: ```powershell Function Send-TCPMessage { Param ( [Parameter(Mandatory=$true, Position=0)] [ValidateNotNullOrEmpty()] [string] $EndPoint , [Parameter(Mandatory=$true, Position=1)] [int] $Port , [Parameter(Mandatory=$true, Position=2)] [string] $Message ) Process { # Setup connection $IP = [System.Net.Dns]::GetHostAddresses($EndPoint) $Address = [System.Net.IPAddress]::Parse($IP) $Socket = New-Object System.Net.Sockets.TCPClient($Address,$Port) # Setup stream wrtier $Stream = $Socket.GetStream() $Writer = New-Object System.IO.StreamWriter($Stream) # Write message to stream $Message | % { $Writer.WriteLine($_) $Writer.Flush() } # Close connection and stream $Stream.Close() $Socket.Close() } } ``` Для отправки тестового сообщения нужно выполнить слледующую команду: ```powershell Send-TCPMessage -Port 5578 -Endpoint 10.68.85.125 -message "KUMA the best SIEM !" ``` Вот как это выглядит в работе: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-10/3piimage.png) На стороне KUMA: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-10/tWeimage.png) # Мониторинг ключей реестра Windows Для мониторинга ключей реестра в KUMA можно использовать стандартные механизмы аудита Windows. Для этого необходимо настроить расширенный аудит на доступ к реестру и определить разделы, операции с ключами которых необходимо мониторить. Данные настройки могут быть выполнены локально на сервере, а также заданы с помощью групповой политики. В статье ниже будет рассказано о локальных настройках. --- ### Настройка политики аудита Запустите cmd.exe из-под учетной записи Администратора и выполните следующую команду: ``` auditpol /set /subcategory:"Реестр" /success:enable /failure:enable ``` Другим вариантом является внесение изменений в локальную политику безопасности. Чтобы выполнить его, откройте редактор Локальной политики безопасности и перейдите в "Параметры безопасности" - "Конфигурация расширенной политики аудита" - "Политики аудита системы" - "Объект локальной групповой политики" - "Доступ к объектам". [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/7M9image.png) Откройте подкатегорию "Аудит реестра" и выставите необходимые значения [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/v6uimage.png) --- ### Настройка аудита раздела реестра Откройте оснастку "Редактор реестра" и перейдите к разделу, аудит которого необходимо настроить [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/MYLimage.png) Нажмите ПКМ на нужном разделе и выберите пункт Разрешения [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/BISimage.png) В открывшемся окне нажмите на кнопку "Дополнительно" [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/ghyimage.png) В новом окне перейдите на вкладку "Аудит" и добавьте необходимое правило аудита раздела. В данном примере настроен аудит полного доступа всех субъектов к текущему разделу и всем его подразделам. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/crDimage.png) Примените выполненные настройки. --- ### Результат В результате выполненных настроек в журнале безопасности (security) Windows будут появляться события в зависимости от настроенного аудита. События, которые могут появляться: \- 4663(S): An attempt was made to access an object. \- 4656(S, F): A handle to an object was requested. \- 4658(S): The handle to an object was closed. \- 4660(S): An object was deleted. \- 4657(S): A registry value was modified. \- 5039(-): A registry key was virtualized. \- 4670(S): Permissions on an object were changed. Как это выглядит в KUMA (на примере события 4657): [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/se8image.png)[](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/Xraimage.png) | [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/dHFimage.png) |
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Архитектура Auditd [](https://kb.kuma-community.ru/uploads/images/gallery/2024-01/w3Rimage.png) ### Настройка AuditD Для начала необходимо проврить установлена нужная служба auditd, посмотрим активные правила: ``` auditctl -l ``` В случае наличия подобной ошибки: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/owlimage.png) Необходимо установить следующие пакеты: ``` apt-get install auditd audispd-plugins ``` Либо (если RHEL подобные ОС): ``` yum install audit audispd-plugins ``` Рекомендуем использовать следующие правила для аудита: ``` wget -O audit.rules https://raw.githubusercontent.com/Neo23x0/auditd/master/audit.rules ``` Загрузить файл с правилами аудита с портала box.kaspersky.com - [**тут**](https://box.kaspersky.com/f/acfad80baeca482e9af9/).Другие правила аудита можно найти в этой статье - [https://kb.kuma-community.ru/link/14#bkmrk-linux](https://kb.kuma-community.ru/link/14#bkmrk-linux)
Рекомендуем добавить записи в конец файла `audit.rules`, для быстрого добавления используйте команду ниже (после выполните `systemctl restart auditd.service`): ```bash cat << EOF >> /etc/audit/rules.d/audit.rules # root authorized_keys -w /root/.ssh/authorized_keys -p wa -k rootkey # motd audit -w /etc/update-motd.d/ -p wa -k motd # udev audit -w /etc/udev/rules.d/ -p wa -k udev # xdg audit -w /etc/xdg/autostart/ -p wa -k xdg -w /usr/share/autostart/ -p wa -k xdg # Package Manager (APT/YUM/DNF) -w /etc/yum/pluginconf.d/ -p wa -k package_man -w /etc/apt/apt.conf.d/ -p wa -k package_man -w /etc/dnf/plugins/dnfcon.conf -p wa -k package_man # exta systemd -w /usr/lib/systemd/ -p wa -k systemd -w /lib/systemd/ -p wa -k systemd -w /usr/local/lib/systemd/ -p wa -k systemd -w /usr/local/share/systemd/user -p wa -k systemd_user -w /usr/share/systemd/user -p wa -k systemd_user # setcap audit -w /usr/sbin/setcap -p x -k setcap # rc audit -w /etc/rc.local -p wa -k rclocal ## extra Shell/profile configurations -w /etc/bash.bashrc -p wa -k shell_profiles -w /etc/bash.bash_logout -p wa -k shell_profiles -w /root/.profile -p wa -k shell_profiles -w /root/.bashrc -p wa -k shell_profiles -w /root/.bash_logout -p wa -k shell_profiles -w /root/.bash_profile -p wa -k shell_profiles -w /root/.bash_login -p wa -k shell_profiles # extra search files -w /usr/bin/find -p x -k T1083_File_And_DIrectory_Discovery ## Kernel Related Events -w /usr/sbin/modprobe -p x -k T1547_Boot_or_Logon_Autostart_Execution -w /usr/sbin/insmod -p x -k T1547_Boot_or_Logon_Autostart_Execution -w /usr/sbin/lsmod -p x -k T1547_Boot_or_Logon_Autostart_Execution -w /usr/sbin/rmmod -p x -k T1547_Boot_or_Logon_Autostart_Execution -w /usr/sbin/modinfo -p x -k T1547_Boot_or_Logon_Autostart_Execution -w /etc/modprobe.conf -p wa -k T1547.006_6 -w /etc/sysctl.conf -p wa -k sysctl # extra file manipulation -w /usr/bin/ftp -p x -k T1105_remote_file_copy -w /usr/bin/sftp -p x -k T1105_remote_file_copy -w /usr/bin/rsync -p x -k T1105_remote_file_copy -w /usr/bin/cp -p x -k T1005_Data_from_Local_System -w /usr/bin/dd -p x -k T1005_Data_from_Local_System -a always,exit -F arch=b32 -S execve -S execveat -F exe=/usr/bin/shred -F -k T1070.004_1 -a always,exit -F arch=b64 -S execve -S execveat -F exe=/usr/bin/shred -F -k T1070.004_2 # split cmd audit -w /usr/bin/split -p x -k split EOF ``` Другие правила аудита и полезные материалы по AuditD можно найти - [**тут**](https://kb.kuma-community.ru/books/kuma-how-to/page/poleznye-ssylki-po-ib). Далее нужно переместить правила в директорию по умолчанию и применить правила перезапуском сервиса: ``` cp audit.rules /etc/audit/rules.d/ systemctl restart auditd.service systemctl enable auditd.service ```Рекомендуемый парсер (без агрегации/склейки событий) для правил корреляции Community - **\[2024-09-23\] Unix AuditD (REGEX)** (из Community-Pack)
Для использования агрегации логов используйте коробочный парсер **\[OOTB\] Linux auditd syslog for KUMA 3.2** c включенным переключателем "auditd", который доступен в KUMA 3.2, подробнее:[ https://support.kaspersky.com/help/KUMA/3.2/ru-RU/220739.htm](https://support.kaspersky.com/help/KUMA/3.2/ru-RU/220739.htm)
### Известные проблемы Бывают случаи, когда из-за ротации самого себя auditd (собственная ротация) падает в статусе сервиса: *Sep 24 00:11:42 example.org auditd\[756\]: Audit daemon rotating log files* В таком статусе лог файл не пополняется, рекомендуется использовать системную ротацию logrotate. Сначала отключается собственная ротация auditd, правим конфиг: ```bash nano /etc/audit/auditd.conf ``` Правим занчение (выделено жирным): `max_log_file_action = ignore` Затем настраивается системная ротация logrotate. ```bash touch /etc/logrotate.d/auditd chmod 644 /etc/logrotate.d/auditd; chown root:root /etc/logrotate.d/auditd nano /etc/logrotate.d/auditd ``` Пишем в файле auditd: ```bash # daily rotation keep last 2 days and compress old /var/log/audit/audit.log { daily missingok notifempty sharedscripts rotate 2 compress delaycompress postrotate /usr/bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true endscript } ``` Перезапускаем службы logrotate и auditd: ```bash systemctl restart logrotate.service; systemctl restart auditd.service ``` ### Классический сбор событий auditd с помощью Rsyslog Проведите настроку по этой инструкции: [https://kb.kuma-community.ru/books/podkliucenie-istocnikov/page/sbor-sobytii-auditd-s-pomoshhiu-rsyslog](https://kb.kuma-community.ru/books/podkliucenie-istocnikov/page/sbor-sobytii-auditd-s-pomoshhiu-rsyslog) ### Удаленная отправка логов auditdНе поддерживается коробочным парсером **\[OOTB\] Linux auditd syslog for KUMA 3.2**
Иногда **если место на сервере ограничено и хранить объемный лог audutd нет возможности**, для этого можно настроить отправку логов сразу на удаленный сервер, для этого будем использовать плагин audispd-plugins, который мы загружали выше. Отключим локальное ведение логов аудита в файле `/etc/audit/auditd.conf` выставляем значение **write\_logs = no**: ```bash root@kuma# nano /etc/audit/auditd.conf local_events = yes write_logs = no name_format = HOSTNAME ```Не прописывайте name\_format = HOSTNAME если планируете использовать коробочный парсер **\[OOTB\] Linux auditd syslog for KUMA 3.2**
Теперь нам нужно исправить файл по примеру ниже для отправки логов на удаленный сервер: ```bash root@kuma# nano /etc/audit/plugins.d/au-remote.conf active = yes direction = out path = /sbin/audisp-remote type = always #args = format = string ``` Далее нужно отредактировать файл `/etc/audit/audisp-remote.conf` следующим образом: ```bash root@kuma# nano /etc/audit/audisp-remote.conf # # This file controls the configuration of the audit remote # logging subsystem, audisp-remote. # remote_server = 192.168.0.100 port = 16666 transport = tcp queue_file = /var/spool/audit/remote.log mode = immediate queue_depth = 10240 format = ascii network_retry_time = 2 max_tries_per_record = 3 max_time_per_record = 5 heartbeat_timeout = 0 network_failure_action = stop disk_low_action = ignore disk_full_action = warn_once disk_error_action = warn_once remote_ending_action = reconnect generic_error_action = syslog generic_warning_action = syslog queue_error_action = stop overflow_action = syslog startup_failure_action = warn_once_continue ##krb5_principal = ##krb5_client_name = auditd ##krb5_key_file = /etc/audisp/audisp-remote.key ``` Теперь нужно перезапустить сервис auditd для применения обновленных конфигураций : ``` systemctl restart auditd.service ``` Сырые события будут без заголовка syslog, парсер Unix из комьюнити-пака обработает корректно такие логи: ``` node=kuma-aio.local type=PROCTITLE msg=audit(1704808440.087:50482): proctitle=2F7362696E2F617564697463746C002D52002F6574632F61756469742F61756469742E72756C6573 ``` # Настройка Syslog-ng на Unix системахИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Для начала необходимо проврить установлена нужная служба Syslog-ng, посмотрим статус службы: ``` systemctl status syslog-ng ``` В случае отсутствия службы необходимо установить следующие пакеты: ``` apt-get install syslog-ng ``` В случае если служба не запущена: ``` sudo systemctl start syslog-ng sudo systemctl enable syslog-ng ``` ### Настройка источника Далее на источнике нужно создать файл с параметрами работы службы и изменить конфигурационный файл службы Syslog-ng. Сначала создается файл с параметрами работы службы: Создайте файл `/etc/syslog-ng/1-unixLogging.conf`, например с помощью nano: ``` nano /etc/syslog-ng/1-unixLogging.conf ``` Добавьте в файл строки для отправки по UDP на порт 5140: ```bash filter unix_filter { not facility(cron, lpr, mail, news, uucp); }; destination to_kuma_udp { udp("Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/239760.htm
### Создание коллектора KUMA Для создания коллектора KUMA необходимо в веб-консоли KUMA перейти на вкладку **Ресурсы – Коллекторы** и нажать на кнопку **Добавить коллектор**. Также можно на вкладке **Ресурсы** выбрать пункт **Подключить источник**. В обоих случая откроется мастер подключения источников событий. На первом шаге мастера необходимо выбрать **Тенант**, которому будет принадлежать коллектор и также задать **Имя** коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/7Ejimage.png) На втором шаге мастера необходимо выбрать тип подключения **udp** или **tcp** и указать **порт**, на котором коллектор будет ожидать входящие подключения. В данном примере выбран UDP/5144. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/EoGimage.png) На третьем шаге мастера необходимо выбрать предустановленный нормализатор **\[OOTB\] Linux Audit and iptables Syslog (либо парсер AuditD из PreSales Pack)**. В случае отсутствия указанного нормализатора, обратитесь к своему менеджеру для его получения. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/CQEimage.png) Шаги мастера с четвертого по шестой можно пропустить, либо заполнить позднее по своему усмотрению. На седьмом шаге мастера необходимо указать точки назначения типа **Хранилище**, если требуется сохранение событий в БД и типа **Коррелятор**, если требуется корреляция событий. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/IW1image.png) На последнем шаге мастера необходимо нажать на кнопку **Сохранить и создать сервис**, после чего скопировать появившуюся команду для дальнейшей установки сервиса коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/4Bkimage.png) В результате на вкладке **Ресурсы – Активные сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/O9dimage.png) --- ### Установка коллектора KUMA Для установки сервиса коллектора необходимо подключиться к консоли сервера коллектора KUMA. Для установки сервиса коллектора необходимо выполнить скопированную команду. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/dmzimage.png) Также необходимо добавить порт коллектора в исключения фаервола и обновить параметры службы ```bash firewall-cmd --add-port=5144/udp --permanent firewall-cmd --reload ``` В результате статус коллектора в веб-интерфейсе KUMA изменится на **зеленый**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/INUimage.png) --- ### Настройка сервера источника логовВ случае наличия ошибок с доступом журналов, попробуйте отключить SELinux. Отключение SELinux вручную — SELINUX = Disabled в /etc/selinux/config и затем setenforce 0, команда getenforce для проверки.
На сервере источнике логов проверьте наличие сервиса **RSyslog** в системе: ``` systemctl status rsyslog.service ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/GCJimage.png) В случае отсутствия сервиса его необходимо установить и запустить: ``` yum install rsyslog systemctl enable rsyslog.service systemctl start rsyslog.service ``` Далее в папке `/etc/rsyslog.d` необходимо создать файл **`audit.conf`** следующего содержания: ```bash vi /etc/rsyslog.d/audit.conf ``` ``` $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor local6.* @Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройка Usergate Для настройки отправки событий с Usergate в KUMA выполните следующие действия: 1\. В веб-интерфейсе Usergate перейдите на вкладку **Журналы и отчеты**.  2\. Выберите **Экспорт журналов** и нажмите кнопку **Добавить**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/2Bfimage.png) 3\. На вкладке **Общие** поставьте галочку напротив параметра **Включено** и задайте имя правилу экспорта журналов. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/eZeimage.png) 4\. На вкладке **Удаленный сервер** задайте следующие настройки: - **Тип** сервера - **Syslog** - **Адрес** - коллектора KUMA - **Порт** - порт коллектора KUMA - **Транспорт** - **UDP** или **TCP** (настройка должна совпадать с настройками коллектора KUMA). - **Протокол** - **Syslog (RFC 5424)**. - **Критичность** и **Объект** выберите в соответствии с потребностями в логировании.В поле **Имя хоста** по умолчанию указано имя хоста Usergate с символом **@**. Замените символ «**@**» на символ «**.**» для корректной нормализации событий Usergate на стороне KUMA.
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/kivimage.png) 5\. На вкладке **Журналы для экспорта** поставьте галочки напротив **Журналов**, которые необходимо экспортировать в KUMA. Для каждого экспортируемого журнала выберите **Формат CEF**. 6\. Сохраните внесенные изменения. --- ### Настройка KUMA После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Usergate. 1\. На шаге **Транспорт** укажите тип и порт в соответствии с настройками на стороне Usergate. 2\. На шаге **Парсинг** событий выберите нормализатор **\[OOTB\] Syslog-CEF.** 3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения: - **Хранилище**. Для отправки обработанных событий в хранилище. - **Коррелятор**. Для отправки обработанных событий в коррелятор. Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их. 4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 5\. Скопируйте появившуюся команду для установки коллектора KUMA. --- ### Полезные ссылки Экспорт журналов (документация UserGate): [https://docs.usergate.com/eksport-zhurnalov\_178.html](https://docs.usergate.com/eksport-zhurnalov_178.html) # ViPNet CoordinatorИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройка ViPNet Coordinator Для отправки событий ViPNet Coordinator в KUMA выполните следующее: 1\. Подключитесь к консоли ViPNet Coordinator локально или через ssh. 2\. Перейдите режим в Администратора с помощью следующей команды: ``` enable ``` 3\. Из командной строки в режиме Администратора выполните команду: ``` machine set loghostВ случае если коллектор KUMA является открытым узлом по отношению к ViPNet Coordinator, то также необходимо создать фильтр открытой сети, разрешающий исходящий трафик по протоколу UDP на 514-й порт коллектора KUMA.
--- ### Настройка KUMA После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий ViPNet Coordinator. 1\. На шаге **Транспорт** укажите тип UDP и порт 514. 2\. На шаге **Парсинг** событий выберите нормализатор **\[OOTB\] VipNet Coordinator syslog.** 3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения: - **Хранилище**. Для отправки обработанных событий в хранилище. - **Коррелятор**. Для отправки обработанных событий в коррелятор. Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их. 4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 5\. Скопируйте появившуюся команду для установки коллектора KUMA. --- ### Дополнительная настройка коллектора После установки коллектора, необходимо внести изменения в файл сервиса коллектора для того, чтобы коллектор мог слушать входящие соединения на порту 514. Для этого выполните следующие действия: 1\. Остановите выполнение сервиса коллектора командой ```bash systemctl stop kuma-collector-Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm)
### Настройка Ideco UTM Для передачи событий из Ideco UTM в KUMA выполните следующие действия: 1\. Подключитесь к веб-интерфейсу Ideco UTM под учётной записью, обладающей административными привилегиями. 2\. В меню **Пересылка системных сообщений** переведите переключатель **Syslog** в положение включено. 3\. В параметре **IP-адрес** укажите IP-адрес коллектора KUMA. 4\. В параметре **Порт** введите порт, который прослушивает коллектор KUMA. 5\. Нажмите **Сохранить** для применения внесённых изменений.  --- ### Настройка KUMA После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Ideco UTM. 1\. На шаге **Транспорт** укажите тип **UDP** и порт в соответствии с настройками на стороне Ideco UTM. 2\. На шаге **Парсинг** событий выберите нормализатор **\[OOTB\] Ideco UTM syslog.** 3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения: - **Хранилище**. Для отправки обработанных событий в хранилище. - **Коррелятор**. Для отправки обработанных событий в коррелятор. Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их. 4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 5\. Скопируйте появившуюся команду для установки коллектора KUMA. --- ### Полезные ссылки Настройка получения событий Ideco UTM (онлайн-справка KUMA): [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm) Расшифровка передаваемых логов: [https://docs.ideco.dev/settings/monitor/syslog](https://docs.ideco.dev/settings/monitor/syslog) # Cisco IOSИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройка Cisco IOS Войдите на источник Cisco IOS коммутатор или маршрутизатор. Введите следующую команду для входа в маршрутизатор в привилегированный режим: `enable` Переключитесь в режим конфигурации (configure terminal): ```bash conf t ```Перед включением ведения журнала убедитесь, что ваш маршрутизатор правильно настроен для получения времени от сервера NTP, или настройте его вручную, чтобы получать время. Используйте команду `set clock` или `ntp server x.x.x.x` для синхронизации часов.
Включите журналирование: ``` logging on ``` Укажите IP-адрес коллектора и порт (можно использовать UDP или TCP транспорт): ```bash logging host**Level Keyword** | **Level** | **Description** | **Syslog Definition** |
emergencies | 0 | Система нестабильна | LOG\_EMERG |
alerts | 1 | Требуются немедленные действия | LOG\_ALERT |
critical | 2 | Критические условия | LOG\_CRIT |
errors | 3 | Условия ошибки (по умолчанию) | LOG\_ERR |
warnings | 4 | Условия предупреждения | LOG\_WARNING |
notifications | 5 | Нормальное, но значимое состояние | LOG\_NOTICE |
informational | 6 | Только информационные сообщения | LOG\_INFO |
debugging | 7 | Отладка сообщений | LOG\_DEBUG |
Маршрутизатор по умолчанию не проверяет, авторизован ли пользователь в консольном порту или к нему подключено устройство; если ведение журнала консоли включено, на консольный порт всегда отправляются сообщения, которые могут вызвать нагрузку на процессор. Поэтому ниже включим логирование только необходимых событий. (вместо включения `logging console warning`)
Включите регистрацию событий входа пользователей: ```bash logging userinfo login on-success log login on-failure log ip ssh logging events ``` Включите регистрацию событий выполнения конфигурационных команд: ```bash archive log config logging enable notify syslog contenttype plaintext ``` **Опционально**. Включите регистрацию событий VPN: ```bash crypto logging ezvpn crypto logging session crypto logging ikev2 ``` Выйдите из режима конфигурирования: ```bash end ``` Сохраните изменения даже после перезагрузки: на старых Cisco: ``` write memory ``` на новых Cisco (копирование рабочей конфигурации): ``` copy running-config startup-config ``` Чтобы отобразить состояние системного журнала (syslog) и содержимое стандартного буфера сообщений системного журнала, используйте команду из привилегированного режима: ```bash show logging ``` # FortiGate (CEF)Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройка коллектора KUMA #### Создание коллектора KUMA Для приема и обработки событий с FortiGate необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите на вкладку **Ресурсы** и нажмите на кнопку **Подключить источник.** В появившемся окне **Создание коллектора:** - На шаге **Подключение источников** укажите **Имя коллектора** и **Тенант**, к которому будет принадлежать создаваемый коллектор [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/La5image.png) - На шаге **Транспорт** укажите **Тип** и **Порт** (данные параметры должны соответствовать настройкам на стороне FortiGate: **set mode** и **set port** соответственно)Для распределенной инсталяции укажите hostname:port сервера коллектора в поле **URL**
[](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/hZ3image.png) - На шаге **Парсинг событий** укажите нормализатор. Рекомендуется использовать предустановленный нормализатор **\[OOTB\] Syslog-CEF** ([https://support.kaspersky.com/help/KUMA/3.0.3/ru-RU/255782.htm)](https://support.kaspersky.com/help/KUMA/3.0.3/ru-RU/255782.htm)).Если планируете использовать правила корреляции для FortiGate из Community-Pack необходимо использовать нормализатор **\[2024-04-22\] FortiGate Syslog-CEF**, также доступный в Community-Pack
[](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/9yoimage.png) - Шаги мастера настройки с четвертого по шестой можно пропустить и вернуться к их настройке позднее. - На седьмом шаге **Маршрутизация** задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище**. В случае если предполагается также корреляция по событиям добавьте точку назначения типа **Коррелятор**. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/tLAimage.png) - На завершающем шаге **Проверка параметров** нажмите на кнопку **Сохранить** **и создать сервис**. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/bAWimage.png) Также после выполнения вышеуказанных действий на вкладке **Ресурсы** **>** **Активные сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/y26image.png) #### Установка коллектора KUMA Выполните подключение к CLI KUMA (установка коллектора выполняется с правами root). Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/GFnimage.png) При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы. ```shell firewall-cmd --add-port=<порт, выбранный для коллектора>/udp –permanent firewall-cmd --reload ``` После успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на **зеленый**. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/1Nbimage.png) --- ### Настройка FortiGate Для настройки отправки событий в формате CEF с FortiGate в KUMA выполните следующие действия: - Подключитесь к CLI FortiGate по SSH - Перейдите в секцию настройки параметров Syslog: ```shell config log syslogd setting ``` - Выполните настройку параметров Syslog: ```shell set status enable # включить отправку событий на удаленный Syslog-сервер set serverИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройка коллектора KUMA #### Создание коллектора KUMA Для приема и обработки событий Check Point NGFW необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел **Ресурсы** и нажмите на кнопку **Подключить источник.** В появившемся окне **Создание коллектора:** - На шаге **Подключение источников** укажите **Название коллектора** и **Тенант**, которому будет принадлежать создаваемый коллектор  - На шаге **Транспорт** укажите **Тип коннектора** и **URL** (порт, выделенный сервису)Для распределенной инсталяции укажите hostname:port сервера коллектора в поле **URL**
Указанные параметры должны соответствовать настройкам на стороне Check Point
 - На шаге **Парсинг событий** нажмите **Добавить парсинг событий** и укажите нормализатор. Рекомендуется создать и использовать в качестве нормализатора для событий Check Point дубликат предустановленного нормализатора **\[OOTB\] CEF.**[](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/image.png)В параметрах нормализатора перейдите в окно **Основной парсинг событий** и выберите вкладку **Обогащение.** На вкладке **Обогащение** нажмите **Добавить обогащение** и настройте параметры обогащения согласно скриншоту ниже для корректной работы SOC и Community корреляционных правил. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/E2Zimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/yytimage.png) - Шаги мастера настройки с четвертого по шестой (**Фильтрация событий**, **Агрегация событий** и **Обогащение событий**) можно пропустить и вернуться к их настройке позднее. - На седьмом шаге **Маршрутизация** задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище (Storage)**. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа **Коррелятор (Correlator)**.  - На завершающем шаге **Проверка параметров** нажмите на кнопку **Сохранить** **и создать сервис**. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.  Также после выполнения вышеуказанных действий в разделе **Ресурсы** **>** **Активные сервисы** появится созданный сервис коллектора.  #### Установка коллектора KUMA Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root). Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.  При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы. ```shell firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent firewall-cmd --reload ``` После успешной установки сервиса его статус в веб-интерфейсе KUMA изменится на **Вкл** с **зеленой индикацией**.  --- ### Настройка Check Point NGFW Отправка событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку конфигурации Log Exporter можно выполнить двумя способами: - С помощью SmartConsole (начиная с версии R81) - В CLI #### SmartConsole - Создайте новый объект Log Exporter/SIEM: - Выберите **Objects** > **More object types** > **Server** > **Log Exporter/SIEM** - В поле **Object Name** введите имя для создаваемого объекта **Log Exporter** - Перейдите во вкладку **General**: - В секции **Export Configuration** активируйте флаг **Enabled** - В секции **Server Configuration**: - В поле **Target Server** укажите IP-адрес или FQDN сервера коллектора KUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569) - В поле **Target Port** укажите порт, указанный на шаге **Транспорт** при создании сервиса коллектора - В поле **Protocol** выберите протокол (TCP или UDP), указанный на шаге **Транспорт** при создании сервиса коллектора - Перейдите во вкладку **Data Manipulation:** - В поле **Format** выберите **Common Event Format (CEF)** - **(Опционально)** активируйте флаг **Aggregate log updates before export** для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события. - **(Опционально)** Перейдите во вкладку **Attachments:** - Активируйте флаги - **Add link to Log Details in SmartView** - **Add link to Log Attachment in SmartView** - **Add Log Attachment ID** - Нажмите **ОК**  - Выполните настройку параметров объекта **Management Server** или **Dedicated Log Server / SmartEvent Server:** - В навигационной панели слева выберите **Gateways & Servers** - Откройте объект **Management Server or Dedicated Log Server / SmartEvent Server** - Слева выберите **Logs** > **Export** - Нажмите **\[+\]** и выберите объект **Log Exporter /** **SIEM,** созданный ранее - Нажмите **OK** - Нажмите **Menu** > **Install database** - Выберите все объекты - Нажмите **Install** #### CLI - Подключитесь к **Management Server / Log Server** - Перейдите в режим **Expert** - Настройте параметры **Log Exporter** ```shell cp_log_export add name <Наименование конфигурации Log Exporter> target-serverИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
**FortiAnalyzer** — это аналитическая платформа для управления событиями, журналами и формирования отчетности, разработанная компанией Fortinet. В данной статье рассматривается настройка отправки событий FortiGate, которые централизованно собираются и хранятся в FortiAnalyzer. ### Настройка коллектора KUMA #### Создание коллектора KUMA Для приема и обработки событий FortiGate, отправляемых с FortiAnalyzer, необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел **Ресурсы** и нажмите на кнопку **Подключить источник.** В появившемся окне **Создание коллектора:** - На шаге **Подключение источников** укажите **Название коллектора** и **Тенант**, которому будет принадлежать создаваемый коллектор [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/zjximage.png) - На шаге **Транспорт** укажите **Тип коннектора** и **URL** (порт, выделенный сервису).Для распределенной инсталяции укажите hostname:port сервера коллектора в поле **URL**
Указанные параметры должны соответствовать настройкам на стороне FortiAnalyzer
[](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/kBFimage.png) - На шаге **Парсинг событий** нажмите **Добавить парсинг событий** и укажите нормализатор. Рекомендуется использовать community-нормализатор **FortiGate-FortiAnalyzer (CEF).** Как альтернативный вариант, можно использовать предустановленный нормализатор **\[OOTB\] CEF,** но данный нормализатор не обеспечивает парсинг специфичных полей FortiGate, например, virus, attack и других. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/4x1image.png) - Шаги мастера настройки с четвертого по шестой (**Фильтрация событий**, **Агрегация событий** и **Обогащение событий**) можно пропустить и вернуться к их настройке позднее. - На седьмом шаге **Маршрутизация** задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище (Storage)**. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа **Коррелятор (Correlator)**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/YG2image.png) - На завершающем шаге **Проверка параметров** нажмите на кнопку **Сохранить** **и создать сервис**. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/E3kimage.png) Также после выполнения вышеуказанных действий в разделе **Ресурсы** **>** **Активные сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/Ccwimage.png) #### Установка коллектора KUMA Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root). Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/Oweimage.png) При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы. ```shell # Пример для firewalld firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent firewall-cmd --reload ``` После успешной установки сервиса в столбце **Статус** в веб-интерфейсе KUMA появится **зеленая индикация**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/H2uimage.png) --- ### Настройка FortiAnalyzer Пересылка событий FortiGate в KUMA выполняется средствами механизма Log Forwarding, доступного в FortiAnalyzer. Для настройки пересылки в веб-интерфейсе FortiAnalyzer: - Перейдите в **System Settings > Log Forwarding** - Нажмите **Create New** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/HHEimage.png) - В появившемся окне **Create New Log Forwarding** укажите: - **Name** - KUMA CEF - **Status** - Включено - **Remote Server Type** - Common Event Format (CEF) - **Server FQDN/IP** - <IP-адрес или FQDN сервера коллектора KUMA> - **Server Port** - <Укажите порт, указанный на шаге **Транспорт** при создании сервиса коллектора> - **Reliable Connection** - Включено - Опционально фильтры в секции **Log Forwarding Filters** - Нажмите **ОК** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/P8simage.png) - Убедитесь, что параметры нового сервера для пересылки событий сохранены. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/jrRimage.png) --- ### Проверка поступления событий FortiGate в KUMA Для проверки, что пересылка событий FortiGate с FortiAnalyzer успешно настроена перейдите в **Ресурсы** > **Активные сервисы** > выберите ранее созданный коллектор FortiGate-FortiAnalyzer > ПКМ > **Перейти к событиям.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/Jhvimage.png) В открывшемся окне **События** убедитесь, что присутствуют события FortiGate. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/Kdbimage.png) --- ### Полезные ссылки - Настройка пересылки событий с помощью Log Forwarding:[ https://docs.fortinet.com/document/fortianalyzer/7.2.9/administration-guide/621804/log-forwarding](https://docs.fortinet.com/document/fortianalyzer/7.6.9/administration-guide/621804/log-forwarding) - Описание типов и полей событий FortiGate: [https://docs.fortinet.com/document/fortigate/7.2.8/fortios-log-message-reference/search](https://docs.fortinet.com/document/fortigate/7.2.8/fortios-log-message-reference/search) # Континент версия 4Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройки Континента Откройте Менеджер конфигурации Континента. В настройках узла безопасности раскройте пункт **Журналирование и оповещение**, затем нажмите  и пропишете IP адрес и порт коллектора KUMA, рекомендуется использовать протокол TCP. Уровени детализации журнала в Континенте (Рекомендуемый уровень детализации **Высокий**):**Уровень детализации журнала** | **Уровень важности события** |
Отладочный | Отладка (DEBUG) |
Минимальный | Информация (INFO) |
Низкий | Ошибка (ERR) |
Средний | Критическая ошибка (CRIT) |
Высокий | Тревога (ALERT) |
Предустановленный | Предупреждение (Warning) |
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Инструкция применима для MikroTik с RouterOS 6 и 7+
### Настройка Mikrotik Настройка может выполняется с помощью WinBox (рассматривается этот метод), либо через веб-интерфейс MikroTik RouterOS под учетной записью с правами администратора или через командную строку. Перейдите в раздел **System - Logging**, во вкладке **Actions** добавляем новый элемент (по умолчанию используется протокол UDP):  Cохраните настройку, нажав **Apply** и **OK**. Настройка через командную строку: ```bash /system logging action /system/logging/action> add bsd-syslog=yes name=kuma remote=(KUMA_IP) remote=KUMA_PORT syslog-facility=syslog target=remote ``` Каждое событие в журналах Mikrotik может находиться одновременно в разных Topics, пример ниже:  В правилах логирования необходимо укаказать Topics, не пересекающиеся в других правилах. Иными словами, нужно создать отдельные правила с указанием отдельных Topics и если необходимо указать исключения, для категорий событий, которые не нужно отправлять на коллектора, установите флаг **!** перед Topics. В раскрывающемся списке Action выберите созданное ранее действие kuma, затем нажмите **ОК**.  Настройка через командную строку: ```bash /system logging add topics=critical prefix=critical action=kuma ```При включении определенных Topics, особенно firewall может возрастать нагрузка на МЭ MikroTik, обращайте внимание на нагрузку системы после влючения логирования, особенно это касается моделей со слабой аппаратной начинкой
### Настройка KUMA После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий MikroTik. 1\. На шаге **Транспорт** укажите тип и порт в соответствии с настройками на стороне MikroTik. 2\. На шаге **Парсинг** событий выберите нормализатор **\[OOTB\] MikroTik syslog.** 3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения: - **Хранилище**. Для отправки обработанных событий в хранилище. - **Коррелятор**. Для отправки обработанных событий в коррелятор. Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их. 4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 5\. Скопируйте появившуюся команду для установки коллектора KUMA. # Web # IISИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройка IIS сервера 1\. Откройте диспетчер служб IIS и перейдите в настройки требуемого сайта [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/JQMimage.png) 2\. В разделе IIS выберите "Ведение журнала". Задайте формат журнала "IIS" и укажите папку для хранения логов. После выполнения настроек в окне "Действия" нажмите применить. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/gfGimage.png)Формат логов должен быть именно **IIS** для возможности использования коробочного нормализатора Подробнее про данный формат логов: [https://learn.microsoft.com/en-us/windows/win32/http/iis-logging](https://learn.microsoft.com/en-us/windows/win32/http/iis-logging)
3\. По умолчанию лог IIS будет записан в папку `C:\inetpub\logs\LogFiles`. Для данной папки необходимо включить общий доступ на чтение. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/tOeimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/wCKimage.png) --- ### Монтирование папки в KUMA Для чтения файла логов коллектором KUMA необходимо примонтировать папку содержащую логи IIS сервера на сервер коллектора KUMA. 1\. Для начала необходимо установить утилиту **cifs**, если она еще не установлена. ```bash yum install -y cifs-utils ``` 2\. Далее необходимо создать файл с учетными данными пользователя для доступа к общей папке **/root/.iis-secret** со следующим содержимым: ```bash username=<имя пользователя с правами на чтение папки> password=<пароль пользователя> domain=<домен, в случае доменного пользователя> ``` 3\. Далее нужно создать папку на сервере коллектора KUMA, куда будет примонтирована папка с логами DNS сервера. ```bash mkdir /mnt/iis ``` 4\. Далее в конец файла `/etc/fstab` необходимо добавить строку ```bash \\<путь к общей папке сервера> <путь монтирования> cifs credentials=<файл с учетными данными>,cache=none 0 0 ``` Пример: ```bash \\iis.demo.lab\dhcp /mnt/iis cifs credentials=/root/.iis-secret,cache=none 0 0 ``` 5\. Далее необходимо примонтировать общую папку командой: ``` mount -a ``` Для проверки успешности монтирования можно выполнить следующую команду: ``` ls /mnt/iis ``` 6\. Убедитесь, что у пользователя kuma есть права на чтение файлов логов из данной директории, а также возможность просматривать директории по пути к логам. Альтернативно, можно назначить пользователя kuma владельцем примонтированной папки: ``` chown -R kuma:kuma /mnt/iis ``` --- ### Создание коллектора KUMA Для создания коллектора KUMA необходимо в веб-консоли KUMA перейти на вкладку **Ресурсы – Коллекторы** и нажать на кнопку **Добавить коллектор**. Также можно на вкладке **Ресурсы** выбрать пункт **Подключить источник**. В обоих случая откроется мастер подключения источников событий. На первом шаге мастера необходимо выбрать **Тенант**, которому будет принадлежать коллектор и также задать **Имя коллектора**. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/GSiimage.png) На втором шаге мастера необходимо выбрать тип подключения **file** и указать **маску пути** для файлов логов IIS сервера. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/Z3Nimage.png) На третьем шаге мастера необходимо выбрать предустановленный нормализатор **\[OOTB\] IIS Log File Format**. В случае отсутствия указанного нормализатора, обратитесь к своему менеджеру для его получения. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/Oyrimage.png) Шаги мастера с четвертого по шестой можно пропустить, либо заполнить позднее по своему усмотрению. На седьмом шаге мастера необходимо указать точки назначения типа **Хранилище**, если требуется сохранение событий в БД и типа **Коррелятор**, если требуется корреляция событий. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/Vf2image.png) На последнем шаге мастера необходимо нажать на кнопку **Сохранить и создать сервис**, после чего скопировать появившуюся команду для дальнейшей установки сервиса коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/EVwimage.png) В результате на вкладке **Ресурсы – Активные сервисы** появится созданный сервис коллектора. --- ### Установка коллектора KUMA Для установки сервиса коллектора необходимо подключиться к консоли сервера коллектора KUMA. Для установки сервиса коллектора необходимо выполнить скопированную команду. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/pHQimage.png) В результате статус коллектора в веб-интерфейсе KUMA изменится на **зеленый**. Для поиска событий IIS можно использовать следующий запрос ```sql SELECT * FROM `events` WHERE DeviceProduct = 'IIS' ORDER BY Timestamp DESC LIMIT 250 ``` # Apache Access SyslogИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройка Apache Для настройки пересылки access-лога веб-сервера apache в KUMA необходимо выполнить следующие действия: 1\. Подключитесь к веб-серверу Apache 2\. Создайте конфигурационный файл `/etc/rsyslog.d/apache-access.log.conf` и добавьте в него следующие строки: ```bash $ModLoad imfile $InputFileName /var/log/apache2/access.log $InputFileTag apache_access: $InputFileStateFile stat-apache-access $InputFileSeverity info $InputFileFacility local3 $InputRunFileMonitor $InputFilePollInterval 10 local3.* @Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Инсрукция на примере версии 8.3
## Настройки на стороне 1СКонфигурация 1С выполняется от учетной записи, с правами локального администратора Windows.
### Выгрузка журнала регистрации информационной базы в локальную папку (JSON) 1. Запустите **1С:Предприятие**. 2. Выберите в списке информационную базу и нажмите кнопку 1С:Предприятие, затем введите данные учетной записи администратора и нажмите кнопку **Войти**. 3. В левой части окна нажмите **НСИ и администрирование**. 4. Откройте вкладку **Печатные формы, отчеты и обработки**. 5. Если не установлен флажок **Дополнительные отчеты и обработки**, установите его. 6. Откройте вкладку **Дополнительные отчеты и обработки**. 7. В панели инструментов вкладки нажмите кнопку **Добавить из файла**, затем в окне проводника **Выберите файл внешнего отчета или обработки**. Скачать архив [registration\_log\_json\_upload.zip](https://kb.kuma-community.ru/attachments/2) со сценарием для внешней обработки. 8. Выберите файл и нажмите кнопку **Открыть**. Откроется вкладка дополнительная обработка (создание). 9. В панели инструментов вкладки **нажмите Значок сохранить.** 10. На вкладке **Команды** выберите строку **Выгрузка журнала регистрации в формате JSON**. 11. Нажмите кнопку **Выполнить**. Откроется вкладка Выгрузка журнала регистрации в формате JSON. 12. В поле директория для хранения файлов введите путь для сохранения файлов журнала регистрации‚ например `С:\1С_Журнал`. 13. В поле **Интервал выгрузки в минутах** введите количество минут. за которые события журнала регистрации будут выгружаться в отдельный файл, рекомендуется `15` минут. 14. В поле **Дата выгрузки** выберите дату, с которой начнется выгрузка журнала регистрации. 15. Нажмите кнопку **Сохранить настройки** и подтвердите сохранение. 16. Закройте вкладку Выгрузка журнала регистрации в формате JSON. 17. На вкладке **Команды** в строке **Выгрузка журнала регистрации в формате JSON** установите **флажок**. Откроется окно **Расписание**. 18. Выберите вкладку **Дневное** и в поле **Повторять через** введите `900` (количество секунд в 15 минутах). Время начала и окончания оставьте без изменений (пустым). Нажмите кнопку **ОК**. 19. На вкладке **Команды** в строке **Удаление старых файлов** установите **флажок**. Откроется окно **Расписание**. 20. Выберите вкладку **Общие** и в поле **Повторять каждые** введите `1`. Нажмите кнопку **ОК**. 21. Нажмите кнопку **Записать и закрыть**. Должно получиться следующее: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/Tw4image.png) ### Настройка журналирования событий технологического журнала Чтобы настроить журналирование событий технологического журнала на сервере «1С:Предприятия»: 1. Создайте конфигурационный файл `logcfg.xml`. Если вы используете Windows — в папке `<Папка установки` `"1С:Предприятия">\bin\conf`. 2. Добавьте в файл служебные строки: 3. ```xmlЗачастую создание файловых информационных ресурсов на хостах компании недопустимо с точки зрения действующих требований департамента информационной безопасности. В связи с этим использование стандартного коллектора 1с-xml с возможностью вычитки события через примонтированную к серверу коллектора шару реализовать невозможно.
##### 1. Настройка коллектора и агента KUMA для нормализации многострочных XML-файлов 1C **Конфигурация коллектора****Название поля** | **Значение поля** | **Описание** |
Collector name | \[xml\]\[1C\] - Multiline | Название коллектора |
Transport **→** Kind | tcp | Тип |
Transport **→** URL | :5180 | Локальный порт, который слушает коллектор |
Event parsing **→** Name | \[OOTB\] 1C EventJournal Normalizer | Нормализатор для многострочных XML-файлов 1C |
**Название поля** | **Значение поля** | **Описание** |
Agent name | \[xml\]\[1C\] - Multiline | Название агента |
Config **→** Connector **→** Name | local - 1C-XML | Название коннектора |
Config **→** Connector **→** Kind | 1c-xml | Тип |
Config **→** Connector **→** URL | /opt/1c | Директория xml-файлов 1C |
Config**→** Destinations **→** Name | 1C-XML | Название точки назначения |
Config**→** Destinations **→** Kind | tcp | Тип |
Config**→** Destinations **→** URL | <KUMA-FQDN>:5180 | Сервер и порт коллектора для приема журналов 1C |
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройки на стороне 1С #### Создание пользователя для чтения логов 1\) Подключитесь к машине на которой установлен 1С:Управление сайтом и запустите консоль mysql под рутом (по умолчанию не требует пароля). ```bash mysql -u root ```Если вы не знаете пароль, то его возможно восстановть, но это рекомендуется сначала делать на **тестовом стенде:** [https://dev.1c-bitrix.ru/community/forums/messages/forum32/topic63387/message727606/#message727606](https://dev.1c-bitrix.ru/community/forums/messages/forum32/topic63387/message727606/#message727606)
2\) В БД необходимо создать нового пользователя с правами на чтение журнала событий, вместо **10.10.10.10** укажите **IP KUMA.** ```sql CREATE USER 'kuma'@'10.10.10.10' IDENTIFIED BY 'password'; GRANT SELECT ON sitemanager.b_event_log TO 'kuma'@'10.10.10.10'; FLUSH PRIVILEGES; ``` ### Настройки на стороне KUMA 1\) Импортируйте ресурс (пароль q123123Q!): [https://box.kaspersky.com/f/622c0730465643948c20/](https://box.kaspersky.com/f/622c0730465643948c20/) 2\) Измените секрет для подключения **(Ресурсы** -> **Секреты** -> **1С: Управление сайтом**), если используются спец символы, то пароль можно будет использовать следующий ресурс для преобразования [https://www.urlencoder.org/](https://www.urlencoder.org/) ```url mysql://kuma:password@tcp(10.10.10.11:3306)/sitemanager ``` 5\) При создании коллектора выберите коннектор и парсер - 1C:Управление сайтом, затем укажите точки назначения и создайте сервис. # NXLog агент Альтернатива агента KUMA # Windows Агент NXLog NXLog Community Edition может использоваться в качетсве альтернативного агента для сбора и отправки событий с файлов или Event журналов Windows, ниже будут примеры конфигураций для этих настроек: ### Сбор с файлов - Загрузить Агент: [https://nxlog.co/products/nxlog-community-edition/download](https://nxlog.co/products/nxlog-community-edition/download) - Детали по маскам пути файлов: [https://docs.nxlog.co/refman/v5.5/im/file.html](https://docs.nxlog.co/refman/v5.5/im/file.html) - Лог ошибок агента: `C:\Program Files\nxlog\data\nxlog.log` - Конфигурация агента находится по пути: `C:\Program Files\nxlog\conf\nxlog.conf`После каждой правки конфигурации необходмо перезагружать службу агента NXLog
Ниже пример конфигурации агента по cборe событий с файлов журналов WIndows DHCP и DNS с отправкой на коллектора KUMA по протоколу TCP: ``` Module im_file File "C:\dhcp\Dhcp*.log" #File "C:\Windows\System32\dhcp\DhcpSrvLog*log" Module im_file File "C:\dns\dns.log"Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Общее Настройка логирования Kubernetes (k8s) выполняется путем модификации kube-apiserver. Подробное описание механизма аудита k8s приведено на официальном **[сайте](https://kubernetes.io/docs/tasks/debug/debug-cluster/audit/)**. Данная инструкция предназначена для настройки аудита k8s для последующей передачи логов в KUMA. --- ### Настройка k8s 1\. Необходимо подключиться к ноде k8s с ролью control plane 2\. На ноде создаем директорию, куда будет помещена политика аудита ```bash sudo mkdir /etc/kubernetes/audit/ ``` 3\. В созданной директории создаем файл с политикой аудита `/etc/kubernetes/audit/audit-policy.yaml` любым удобным способом. Содержимое файла может варьироваться от целей логирования, ниже приведен пример политики с официального сайта.Будьте внимательны, конфигурации в k8s как правило задаются в виде файлов YAML, которые чувствительны к отступам. Валидируйте файлы перед их применением во избежание ошибок.
Настройки ниже приведены для deb-систем.
1\. Установка rsyslog ```bash apt install rsyslog ``` 2\. Включение и запуск службы rsyslog ```bash systemctl enable rsyslog.service systemctl start rsyslog.service ``` 3\. Создание файла конфигурации для отправки через rsyslog файла лога k8s ```bash nano /etc/rsyslog.d/k8s.conf ``` Пример содержимого файла с отправкой по TCP: ```bash $ModLoad imfile $InputFileName /var/log/kubernetes/audit/audit.log $InputFileTag tag_k8s_log: $InputFileStateFile k8s_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor local6.* @@10.10.10.10:7777 ``` Где 10.10.10.10 - адрес коллектора KUMA, 7777 - порт коллектора KUMA Для отправки событий по протоколу UDP последнюю строчку следует заменить на: ```bash local6.* @10.10.10.10:7777 ``` 4\. После сохранения изменений в файле необходимо перезапустить сервис Rsyslog командой: ```bash systemctl restart rsyslog.service ``` --- ### Настройка коллектора KUMA После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий `k8s`. 1\. На шаге **Транспорт** укажите тип и порт в соответствии с настройками на стороне *Kubernetes*. 2\. На шаге **Парсинг** событий выберите нормализатор **k8s via syslog**. 3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения: **- Хранилище**. Для отправки обработанных событий в хранилище. **- Коррелятор**. Для отправки обработанных событий в коррелятор. Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их. 4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 5\. Скопируйте появившуюся команду для установки коллектора KUMA. --- ### Полезные ссылки Пакет контента для k8s: [https://github.com/KUMA-Community/kuma\_content/tree/main/rules/app/kubernetes](https://github.com/KUMA-Community/kuma_content/tree/main/rules/app/kubernetes) Документация по настройке аудита k8s: [https://kubernetes.io/docs/tasks/debug/debug-cluster/audit/](https://kubernetes.io/docs/tasks/debug/debug-cluster/audit/) # Kubernetes (k8s) via webhookИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Данный способ является экспериментальным. Рекомендуемый способ приведен в статье **[k8s via rsyslog](https://kb.kuma-community.ru/books/podkliucenie-istocnikov/page/kubernetes-k8s-via-rsyslog)**
### Общее Настройка логирования Kubernetes (k8s) выполняется путем модификации kube-apiserver. Подробное описание механизма аудита k8s приведено на официальном **[сайте](https://kubernetes.io/docs/tasks/debug/debug-cluster/audit/)**. Данная инструкция предназначена для настройки аудита k8s для последующей передачи логов в KUMA. --- ### Настройка k8s 1\. Необходимо подключиться к ноде k8s с ролью control plane 2\. На ноде создаем директорию, куда будет помещена политика аудита ```bash sudo mkdir /etc/kubernetes/audit/ ``` 3\. В созданной директории создаем файл с политикой аудита `/etc/kubernetes/audit/audit-policy.yaml` любым удобным способом. Содержимое файла может варьироваться от целей логирования, ниже приведен пример политики с официального сайта.Будьте внимательны, конфигурации в k8s как правило задаются в виде файлов YAML, которые чувствительны к отступам. Валидируйте файлы перед их применением во избежание ошибок.
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Общее Настройка логирования Docker выполняется путем модификации `/etc/docker/daemon.json`, либо точечно для каждого контейнера через указание соответствующих параметров при запуске. В данной статье будет рассмотрен первый вариант. --- ### Настройка Docker 1\. Необходимо подключиться к ноде Docker 2\. На ноде создать файл конфигурации `/etc/docker/daemon.json`, либо внести изменения в существующий. Пример файла конфигурации представлен ниже. ```json { "log-driver": "syslog", "log-opts": { "syslog-address": "tcp://10.10.10.10:6688", "tag": "{{.ID}}/{{.Name}}", "syslog-format": "rfc5424" } } ``` Где, `10.10.10.10` - адрес коллектора KUMA, `66888` - порт коллектора KUMA. При необходимости можно также переопределить протокол передачи, формат логов и тегирование. Подробности см. по ссылке в конце статьи. 3\. После внесения изменения в файл необходимо перезапустить службу Docker'а: ```bash systemctl restart docker.service ``` В результате внесенных изменений события от Docker будут перенаправляться на сервис коллектора KUMA в соответствии с указанными параметрами.Альтернативно можно настроить логирование на стороне Docker в файл и перенаправлять его содержимое через rsyslog или путем монтирования папки/установки агента KUMA.
--- ### Настройка коллектора KUMA После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий `Docker`. 1\. На шаге **Транспорт** укажите тип и порт в соответствии с настройками на стороне *Docker*. 2\. На шаге **Парсинг** событий выберите нормализатор **\[OOTB\] Syslog**.В дальнейшем можно использовать кастомные парсеры в зависимости от приложений, работающих в контейнерах Docker.
3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения: **- Хранилище**. Для отправки обработанных событий в хранилище. **- Коррелятор**. Для отправки обработанных событий в коррелятор. Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их. 4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**. 5\. Скопируйте появившуюся команду для установки коллектора KUMA. --- ### Полезные ссылки Документация по настройке syslog в Docker: [https://docs.docker.com/engine/logging/drivers/syslog/](https://docs.docker.com/engine/logging/drivers/syslog/) # Dr.Web Enterprise Security SuiteИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://cdn-download.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin\_manual/index.html?notifications\_configure.htm](https://cdn-download.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/index.html?notifications_configure.htm)
### Настройка на стороне Dr.WEB Enterprise Security Suite Настройка производится под встроенным УЗ admin в его разделе **Администрирование → Конфигурация оповещений** У него два блока настроек оповещений: - первый настроен под email; - второй (SIEM KUMA) под Syslog. Для настройки в этой версии сервера Dr.Web лучше прямо под встроенным УЗ admin в консоль заходить. У других админов этот блок может быть не всегда виден, либо не работать кнопка тестового события, либо ещё что-то.  Настройка коллектора KUMA по аналогии с этой главой (предварительно выберите тип коннектора **UDP**) - [**ссылка**](https://kb.kuma-community.ru/books/podkliucenie-istocnikov/page/ksc-cef#bkmrk-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%BA%D0%BE%D0%BB%D0%BB%D0%B5%D0%BA%D1%82%D0%BE%D1%80%D0%B0) Рекомендуемый парсер (без агрегации/склейки событий) для правил корреляции Community - **\[2024-09-23\] Dr. Web CEF** (из Community-Pack) # PostgreSQLИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/251880.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/251880.htm)
### Установка плагина pgAudit Чтобы установить плагин pgAudit: 1\. В командном интерпретаторе выполните команды под учетной записью с правами администратора: ```bash sudo apt update sudo apt -y install postgresql-<версия базы данных PostgreSQL>-pgaudit ``` Версию плагина необходимо выбрать в зависимости от версии СУБД PostgresSQL. Информацию о версиях СУБД PostgreSQL и необходимых версиях плагина см.по ссылке: [https://github.com/pgaudit/pgaudit#postgresql-version-compatibility](https://github.com/pgaudit/pgaudit#postgresql-version-compatibility).Пример: `sudo apt -y install postgresql-12-pgaudit`
2\. Найдите конфигурационный файл `postgres.conf`. Для этого **в командной строке СУБД PostgresSQL** выполните команду: ``` SHOW config_file; ``` В ответе будет указано расположение конфигурационного файла. 3\. Создайте резервную копию конфигурационного файла `postgres.conf`. Откройте файл `postgres.conf` и скопируйте или замените имеющиеся значения на указанные ниже. ```bash ## pgAudit settings shared_preload_libraries = 'pgaudit' ## database logging settings log_destination = 'syslog' ## syslog facility syslog_facility = 'LOCAL0' ## event ident syslog_ident = 'Postgres' ## sequence numbers in syslog syslog_sequence_numbers = on ## split messages in syslog syslog_split_messages = off ## message encoding lc_messages = 'en_US.UTF-8' ## min message level for logging client_min_messages = log ## min error message level for logging log_min_error_statement = info ## log checkpoints (buffers, restarts) log_checkpoints = off ## log query duration log_duration = off ## error description level log_error_verbosity = default ## user connections logging log_connections = on ## user disconnections logging log_disconnections = on ## log prefix format log_line_prefix = '%m|%a|%d|%p|%r|%i|%u| %e ' ## log_statement log_statement = 'none' ## hostname logging status. dns bane resolving affect #performance! log_hostname = off ## logging collector buffer status #logging_collector = off ## pg audit settings pgaudit.log_parameter = on pgaudit.log='ROLE, DDL, MISC, FUNCTION' ``` 4\. Перезапустите службу СУБД PostgreSQL при помощи команды: ```bash sudo systemctl restart postgresql ``` 5\. Чтобы загрузить плагин pgAudit в СУБД PostgreSQL, в командной строке СУБД PostgreSQL выполните команду: ``` CREATE EXTENSION pgaudit; ``` --- ### Настройка Syslog для отправки событий Чтобы настроить передачу событий от сервера, на котором установлена PostgreSQL, в коллектор: 1\. Проверьте, что на сервере источника событий установлен сервис rsyslog. Для этого выполните следующую команду: ``` sudo systemctl status rsyslog.service ``` Если сервис rsyslog не установлен на сервере, установите его, выполнив следующие команды: ```bash yum install rsyslog sudo systemctl enable rsyslog.service sudo systemctl start rsyslog.service ``` В каталоге `/etc/rsyslog.d/` создайте файл `pgsql-to-siem.conf` со следующим содержанием: ```bash If $programname contains 'Postgres' then @Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
### Настройка Битрикс24 CRM В данной статье рассматривается вариант, когда в качестве базы данных Битрикс24 CRM используется MySQL. Все настройки выполняются **в** **консоли** сервера БД с помощью утилиты **mysql**. Вы можете использовать наиболее привычный для Вас способ.Протестировано на версии Битрикс24 CRM 24.0.400
#### Создание пользователя БД и предоставление прав - В консоли сервера выполните подключение к БД MySQL с правами администратора (по умолчанию **root**). ``` mysql -u root -p ```Если пароль для пользователя **root** не установлен, попробуйте подключиться без `-p`
- Создайте нового пользователя, который сможет подключаться к серверу MySQL только с IP-адреса сервера KUMA (коллектора KUMA в случае распределенной инсталляции). ```mysql CREATE USER 'kuma'@'10.10.10.10' IDENTIFIED BY '<задайте пароль>'; ``` - Предоставьте пользователю права доступа. В данном случае предоставляется право выполнять операцию `SELECT` (только чтение) к таблице `b_event_log` в базе данных `sitemanager`. ```mysql GRANT SELECT ON sitemanager.b_event_log TO 'kuma'@'10.10.10.10'; ``` - MySQL автоматически обновит привилегии для нового пользователя. - Чтобы убедиться, что права были предоставлены корректно, выполните следующую команду для отображения прав созданного пользователя: ```mysql SHOW GRANTS FOR 'kuma'@'10.10.10.10'; ```По умолчанию сервер MySQL настроен на работу только с локальным подключением через `localhost.` При необходимости разрешите удаленные запросы и входящие соединения на порт TCP/3306 (используется по умолчанию) на локальном МЭ.
Настройка KUMA #### Импорт набора ресурсов Битрикс24 CRM MySQL - Выполните импорт набора ресурсов KUMA для [Битрикс24 CRM MySQL](https://raw.githubusercontent.com/KUMA-Community/kuma_content/refs/heads/main/normalizers/Other/%D0%91%D0%B8%D1%82%D1%80%D0%B8%D0%BA%D1%8124%20CRM%20MySQL%20(SQL)) (пароль `q123123Q!q123123Q!`). #### Настройка секрета - В веб-интерфейсе KUMA внесите изменения в ресурс Секрета **Битрикс24 CRM MySQL,** импортированный на предыдущем шаге, указав актуальные учетные данные для подключения к БД MySQL: - Перейдите в **Ресурсы** > **Секреты**. - Выберите секрет **Битрикс24 CRM MySQL** и укажите **Пользователя** и **Пароль.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/n9Himage.png) #### Настройка коннектора - В веб-интерфейсе KUMA внесите изменения в ресурс Коннектора **Битрикс24 CRM MySQL,** импортированный на предыдущем шаге, указав актуальный URL-адрес сервера MySQL: - Перейдите в раздел **Ресурсы** > **Коннекторы.** - Выберите коннектор **Битрикс24 CRM MySQL** и укажите актуальный URL-адрес сервера MySQL. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/ojeimage.png)В поле URL можно указать FQDN или IP-адрес сервера MySQL: mysql://user:password@tcp(mysql.example.com:3306)/sitemanager mysql://user:password@tcp(10.10.10.11:3306)/sitemanager
В качестве идентификатора используется столбец ID. При необходимости Вы можете использовать столбец TIMESTAMP\_X (если требуется собирать события, начиная с определенной даты) . Для этого измените значение в параметре **Столбец идентификатора** и внесите изменения в применяемый SQL-запрос.
#### Создание коллектора Для сбора событий Битрикс24 CRM необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе KUMA перейдите в раздел **Ресурсы** и нажмите на кнопку **Подключить источник.** В появившемся окне мастера настройки **Создание коллектора:** - На первом шаге (**Подключение источников**) выберите **Имя коллектора** и **Тенант**, к которому будет относиться создаваемый коллектор. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/6Ndimage.png) - На втором шаге мастера (**Транспорт**) укажите ранее созданный коннектор для подключения к БД MySQL. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/u8Timage.png) - На третьем шаге мастера укажите импортированный ранее нормализатор **Битрикс24 CRM MySQL.** [](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/uQTimage.png) - Шаги мастера настройки с четвертого по шестой (**Фильтрация событий**, **Агрегация событий** и **Обогащение событий**) можно пропустить и вернуться к их настройке позднее. - На седьмом шаге **Маршрутизация** задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище (Storage)**. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа **Коррелятор (Correlator)**. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/X4timage.png) - На завершающем шаге мастера **Проверка параметров** нажмите на кнопку **Сохранить** **и создать сервис**. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/hZEimage.png) - Нажмите **Сохранить**. - После выполнения вышеуказанных действий в разделе **Ресурсы** > **Активные сервисы** появится созданный сервис коллектора. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/QQWimage.png) #### Установка коллектора KUMA - Выполните подключение к CLI сервера KUMA (коллектора KUMA при распределенной инсталляции). - Для установки сервиса коллектора в командной строке выполните команду под учетной записью root, скопированную на прошлом шаге. - После успешной установки сервиса его статус в веб-интерфейсе KUMA изменится на **Вкл** с **зеленой индикацией**. #### Проверка поступления событий - Для проверки, что сбор событий Битрикс24 CRM из БД MySQL успешно настроен перейдите в **Ресурсы** > **Активные сервисы** > выберите ранее созданный коллектор Битрикс24 CRM MySQL > нажмите ПКМ > **Перейти к событиям.** - В открывшемся окне **События** убедитесь, что присутствуют события Битрикс24 CRM. # ClickHouse (сбор событий аудита БД)Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Для настройки базового аудита Clickhouse понадобится: 1\. Для логирования обычных запросов (в том числе grant, create, drop) включить логирование в основном файле (по умолчанию включено): ```bash /etc/clickhouse-server/config.xml ``` в секции logger как минимум необходимо задать формат information ```xml #########################################