KATA/NDR 7.0
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Данная инструкция предназначена строго для версии KICS for NetworksKATA/NDR 4.7.0 или ниже. Инструкция для предыдущих версии 3.1 и ниже находится в соответствующем разделе базы знаний.
Настройка KICS for NetworksKATA/NDR
Для настройки пересылки событий из KICS for NetworksKATA/NDR в SIEM KUMA необходимо выполнить следующие действия:
1. Перейти в веб-консоль KICS for NetworksKATA/NDR из-под учетной записи Администратора
2. Перейти в раздел Параметры – Коннекторы и нажать на кнопку Добавить коннектор
3. В открывшемся окне настроить параметры отправки событий в KUMA SIEM:
Тип коннектора: SIEM;
Имя коннектора: произвольное название, например, KUMA;KUMA Syslog;
Адрес сервера: IP-адр127.0.0.1;
Узесл MGMT интерфейса сервера KICS for Networks;Адрзмес узлащения коннектора: IP-выбрать нужный из выпадрающего с узла, на котором Вы устанавливаете коннектор (Если писпка;
Пользуоватетсяль кпроннектор, грасполагаеммый: на севыбрвере KICS for Networks, то указывается IP адрес MGMT интерфейса сервера. Если пакет с коннектором будет установлен на другом узле, то необходимо указать IP адрес этнужного уизла);Пароль для достувыпа кдающего сертпифискату коннектора: пароль для архива с сертификатом сервера KICS for Networks, который будет сформирован после применения настроек коннектора;
Адрес SIEM сервера: IP-адрес сервера коллектора KUMA;
Номер порта: порт коллектора KUMA;
Транспортный протокол: TCP или UDP.
3. По завершении заполнения необходимых полей нажать кнопку Сохранить.Начиная с версии 4.0 коннектор автоматически осуществит регистрацию в продукте.
В результате в интерфейсе KICS for NetworksKATA/NDR созданный коннектор перейдет в состояние ЗРарботаегистрирован.
Настройка отправки событий
По умолчанию события безопасности KICS for NetworksKATA/NDR не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.
Для настройки отправки событий необходимо:
1. Войти в интерфейс KATA/NDR от имени пользователя Старший офицер безопасности
1. Перейти на вкладку Параметры – Типы событий
2. Выбрать один или несколько типов событий, которые необходимо передавать
3. Нажать на кнопку Выбрать коннекторы
4. Установить флаг напротив тех систем, в которые необходимо предавать выбранные события
5. Подтвердить выбор нажатием кнопки ОК
После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KICS for Networks.KATA/NDR.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KICS for Networks.KATA/NDR.
2. На шаге Парсинг событий выберите соответствующий нормализатор.
Какой нормализатор можно использовать
Сделайте копию коробочного нормализатора [OOTB] KICS4Net v3.х
В копии нормализатора, в главном парсере, на вкладке Обогащение измените значение константы для поля DeviceProduct на NDR
Сохраните нормализатор и используйте его в коллекторе KATA/NDR
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Настройка создания коннектора KICS for Networks (онлайн-справка KICS for Networks): https://support.kaspersky.com/help/KICSforNetworks/4.0/ru-RU/136497.htm