KEDR 5.0

Настройка KEDR

При импорте событий из Kaspersky Endpoint Detection and Response 5.0 действует ряд ограничений:
- Импорт событий доступен только для неотказоустойчивой версии Kaspersky Endpoint Detection and Response.
- Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
- Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.

Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response ~~4.1,~~5.0, выполните следующие действия на стороне Kaspersky Endpoint Detection and Response:

1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.

2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.
Отобразится меню администратора компонента программы.

3. В меню администратора компонента программы выберите режим Technical Support Mode.

4. Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.

6. Выполните команду sudo -i

7. В конфигурационном файле /etc/sysconfig/apt-services ~~в поле~~ KAFKA_PORTSusr/local/lib/python3.8/dist-packages/firewall/create_iptables_rules.py удкалжите ~~значение~~ 10000.

~~Если к серверу Central Node п~~додключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000.

Настоятельно не рекомендуется использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполнительный порт 10000 для комнстандуты WEB_PORTS:

iptablesWEB_PORTS -I= INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROPf'10000,80,{AppPort.APT_AGENT_PORT},{AppPort.APT_GUI_PORT}'

8. Выполните командуы:
kata-firewall stop
systemctlkata-firewall restartstart apt_ipsec.service

--cluster-subnet

9.<маска Всети ~~конфигу~~для адресации серверо~~нном файле~~ /usr/bin/apt-start-sedr-iptables в покле WEB_PORTS ~~доб~~авьсте знра~~чение~~ 10000 ~~через запятую без пробела.~~

~~10. Выполните команду~~ sudo sh /usr/bin/apt-start-sedr-iptables>

Настройка KUMA

1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> centralnodekafka.services.external.dyn.kata в один из следующих файлов:

%WINDIR%\System32\drivers\etc\hosts – в случае сбора телеметрии KEDR агентом KUMA для Windows.

Как отредактировать файл hosts в Windows

1. Запустите cmd.exe от имени администратора

2. Выполните команду notepad.exe %WINDIR%\System32\drivers\etc\hosts

3. Внести изменения в файл и сохраните (Ctrl + S)

/etc/hosts file – в случае сбора телеметрии KEDR коллектором или агентом KUMA для Linux.

2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.
При создании коннектора укажите следующие параметры:

- В поле URL укажите <IP-адрес сервера Central Node>:10000
- В поле Topic укажите EndpointEnrichedEventsTopic.
- В поле Consumer group укажите любое уникальное имя.

3. В веб-интерфейсе KUMA создайте коллектор.
В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора рекомендуется использовать нормализатор [OOTB] KEDR telemetry.