Skip to main content

Импорт событий KEDR (API)


Данная инструкция предназначена для версии KUMA 3.0.2, а также версий KATA 5.1 и 6.0

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm

Создание секрета

Для подключения KEDR со стороны KUMA по API необходимо создать секрет для аутентификации. Для этого выполните следующие действия:
1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты и нажмите на кнопку Добавить.
2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.
3. Нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения, после чего произойдет скачивание архива.
4. иРаспакуйте разархив. Внутри будут файл серутификата и файл закрыте еого содержимоеключа.
4.5. Укажите Файл сертификата и Закрытый ключ в соответствии с рисунком:

image.png

5.6. Сохраните секрет


Настройка коллектора

После того как был создан секрет, требуется создать коллектор в веб-интерфейсе KUMA для событий KEDR.
1. На шаге Транспорт укажите тип kata/kedr и URL ,в (формате <IP-адрес kata:443)или FQDN CN KATA>:<порт, по умолчанию 443>), в поле Секрет укажите ранее созданный секрет.

image.png

2. На шаге Парсинг событий выберите нормализатор [OOTB] KEDR telemetry.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.


Настройка KATA

Для настройки песборесылкиа событий телеметрии из KATA в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль центрального узла Kaspersky Anti Targeted Attack из-под учетной записи Администратора, предварительно отметив параметр Local administrator


image.png

2. Перейдтите в раздел External systems и нажмиатеь Accept (для дальнейшего удобства вы можете изменить содержимое поля Name, например, на KUMA). Также следует проверить, что значение в поле ID совпадает со значением поля Внешний ID в настройках транспорта коллектора KUMA.

image.png


Полезные ссылки

Подробные сведения о получении событий от Kaspersky Endpoint Detection and Response: https://support.kaspersky.com/KATA/5.1/ru-RU/248949.htm

Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr: https://support.kaspersky.com/help/KUMA/3.0.2/ru-RU/261000.htm