Skip to main content

Импорт событий KEDR (API)


Создание секрета

Для подключения KEDR со стороны KUMA по API необходимо создать секрет для аутентификации. Для этого выполните следующие действия:
1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты и нажмите на кнопку Добавить.
2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.
3. Нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения, после чего произойдет скачивание архива и разархивируйте его содержимое.
4. Укажите Файл сертификата и Закрытый ключ в соответствии с рисунком:

image.png

5. Сохраните секрет


Настройка коллектора

После того как был создан секрет, требуется создать коллектор в веб-интерфейсе KUMA для событий KEDR.
1. На шаге Транспорт укажите тип kata/kedr и URL, (IP-адрес kata:443), в поле Секрет укажите ранее созданный секрет.

image.png

2. На шаге Парсинг событий выберите нормализатор [OOTB] KEDR telemetry.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.


Настройка KATA

Для настройки пересылки событий из KATA в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль центрального узла Kaspersky Anti Targeted Attack из-под учетной записи Администратора, предварительно отметив параметр Local administrator


image.png

2. Перейдите в раздел External systems и нажмите Accept (для дальнейшего удобства вы можете изменить содержимое поля Name, например, на KUMA)

image.png


Полезные ссылки

Подробные сведения о получении событий от Kaspersky Endpoint Detection and Response: https://support.kaspersky.com/KATA/5.1/ru-RU/248949.htm

Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr: https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm