KEDR 5.0
Настройка KEDR
При импорте событий из Kaspersky Endpoint Detection and Response 5.0 действует ряд ограничений:
- Импорт событий доступен только для неотказоустойчивой версии Kaspersky Endpoint Detection and Response.
- Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
- Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.
Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.1,5.0, выполните следующие действия на стороне Kaspersky Endpoint Detection and Response:
1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.
Отобразится меню администратора компонента программы.
3. В меню администратора компонента программы выберите режим Technical Support Mode.
4. Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.
5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. Выполните команду sudo -i
7. В конфигурационном файле / etc/sysconfig/apt-servicesusr/local/lib/python3.8/dist-packages/firewall/create_iptables_rules.pyвукажите поледополнительный KAFKA_PORTS удалите значениепорт 10000. для константы WEB_PORTS:
Если
WEB_PORTS к= серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000f'10000,80,{AppPort.APT_AGENT_PORT},{AppPort.APT_GUI_PORT}'.
Настоятельно не рекомендуется использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду:
iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP
8. Выполните командукоманды:kata-firewall stopsystemctlkata-firewall restartstart apt_ipsec.service
9.<маска Всети конфигурационномдля файлеадресации /usr/bin/apt-start-sedr-iptablesв поле WEB_PORTS добавьте значение 10000 через запятую без пробела.
10. Выполните команду sudo sh /usr/bin/apt-start-sedr-iptablesкластера>
Настройка KUMA
1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> в один из следующих файлов:centralnodekafka.services.external.dyn.kata
%WINDIR%\System32\drivers\etc\hosts – в случае сбора телеметрии KEDR агентом KUMA для Windows.
Как отредактировать файл hosts в Windows
1. Запустите cmd.exe от имени администратора
2. Выполните команду notepad.exe %WINDIR%\System32\drivers\etc\hosts
3. Внести изменения в файл и сохраните (Ctrl + S)
/etc/hosts file – в случае сбора телеметрии KEDR коллектором или агентом KUMA для Linux.
2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.
При создании коннектора укажите следующие параметры:
- В поле URL укажите <IP-адрес сервера Central Node>:10000
- В поле Topic укажите EndpointEnrichedEventsTopic.
- В поле Consumer group укажите любое уникальное имя.
3. В веб-интерфейсе KUMA создайте коллектор.
В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора рекомендуется использовать нормализатор [OOTB] KEDR telemetry.