Skip to main content

KATA/NDR 7.0

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Данная инструкция предназначена строго для версии KATA/NDR 7.0. Инструкция для предыдущих версии находится в соответствующем разделе базы знаний.

Данная способ позволяет собирать события NDR. Для сбора событий KATA воспользуйтесь соответствующей инструкцией.

Настройка KATA/NDR

Для настройки пересылки событий из KATA/NDR в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль KATA/NDR из-под учетной записи Администратора

2. Перейти в раздел Параметры Коннекторы и нажать на кнопку Добавить коннектор

image.png

3. В открывшемся окне настроить параметры отправки событий в KUMA SIEM:

Тип коннектора: SIEM;
Имя коннектора: произвольное название, например, KUMA Syslog;
Адрес сервера: 127.0.0.1;
Узел размещения коннектора: выбрать нужный из выпадающего списка;
Пользователь программы: выбрать нужного из выпадающего списка;
Адрес SIEM сервера: IP-адрес сервера коллектора KUMA;
Номер порта: порт коллектора KUMA;
Транспортный протокол: TCP или UDP.

image.png

3. По завершении заполнения необходимых полей нажать кнопку Сохранить.

В результате в интерфейсе KATA/NDR созданный коннектор перейдет в состояние Работает.

image.png

Настройка отправки событий

По умолчанию события безопасности KATA/NDR не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.

Для настройки отправки событий необходимо:

1.    Войти в интерфейс KATA/NDR от имени пользователя Старший офицер безопасности
2.    Перейти на вкладку ПараметрыТипы событий
3.    Выбрать один или несколько типов событий, которые необходимо передавать
4.    Нажать на кнопку Выбрать коннекторы
5.    Установить флаг напротив тех систем, в которые необходимо предавать выбранные события
6.    Подтвердить выбор нажатием кнопки ОК

image.png

После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора

image.png

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KATA/NDR.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KATA/NDR.

2. На шаге Парсинг событий выберите соответствующий нормализатор

Какой нормализатор можно использовать

Сделайте копию коробочного нормализатора [OOTB] KICS4Net v3.х

В копии нормализатора, в главном парсере, на вкладке Обогащение измените значение константы для поля DeviceProduct на NDR

image.png

 Сохраните нормализатор и используйте его в коллекторе KATA/NDR

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

  • Хранилище. Для отправки обработанных событий в хранилище.
  • Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

No Comments
Back to top