Kaspersky Industrial CyberSecurity for Networks (KICS4Net) 3.1 и ниже

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

~~Офици~~Дальнная доинструк~~умента~~ция предназначена строго для версии KICS for Networks 3.1 или ниже. Инструкция для версии 4.0 и выше наннходится в соответствующему разделуе ~~приведе~~базы зна ~~в О~~нлаий~~н-справке на продукт:~~ ~~https://support.kaspersky.com/help/KUMA/2.1/ru-RU/240690.htm~~ .

Настройка KATAKICS for Networks

Для настройки пересылки событий из ~~KATA~~KICS4Net в SIEM KUMA необходимо выполнить следующие действия:

1. Перейти в веб-консоль ~~центрального~~KICS ~~узла~~for ~~Kaspersky Anti Targeted Attack~~Networks из-под учетной записи Администратора~~, предварительно отметив параметр~~ ~~Local administrator~~

2. Перейти в раздел ~~Settings~~Параметры – ~~SIEM System~~Коннекторы и настроить параметры отправки событий в KUMA SIEM:
~~Host/IP~~Тип коннектора: ipSIEM;
Имя коннектора: произвольное название, например, KUMA;
Адрес сервера: IP-адрес MGMT интерфейса сервера KICS for Networks;
Адрес узла коннектора: IP-адрес узла, на котором Вы устанавливаете коннектор (Если ~~fqdn~~используется коннектор, располагаемый на сервере KICS for Networks, то указывается IP адрес MGMT интерфейса сервера. Если пакет с коннектором будет установлен на другом узле, то необходимо указать IP адрес этого узла);
Пароль для доступа к сертификату коннектора: пароль для архива с сертификатом сервера KICS for Networks, который будет сформирован после применения настроек коннектора;
Адрес SIEM сервера: IP-адрес сервера коллектора ~~KUMA~~KUMA;
~~Port~~Номер порта: порт коллектора ~~KUMA~~KUMA;
~~Protocol~~Транспортный протокол: TCP или ~~UDP~~
~~Host~~UDP.

ID:

3. По завершении заполнения необходимых полей нажать кнопку Сохранить.
После сохранения настроек в списке коннекторов появится созданный коннектор. Для KICS for Networks 3.1 и ниже автоматически загрузится файл свертки с сертификатом сервера KICS for Networks, который необходимо перенести на узел, ~~kata-cn~~где установлен коннектор. Вновь созданный коннектор перейдет в режим Ожидание регистрации до того момента, как вы создадите службу на узле, где установлен коннектор.

~~Heartbeat~~:

4. Для создании службы необходимо на узле, где установлен коннектор, перейти в раздел /opt/kaspersky/kics4net-connectors/sbin

cd /opt/kaspersky/kics4net-connectors/sbin

и запустить скрипт registrar.py

python3 registrar.py create

Далее потребуется указать имя коннектора, имя архива с файлом свертки и пароль к архиву файла свертки, подтвердить запуск службы после ее создания.

В результате в интервфейсе KICS for Networks создалнный коннектор перейдет в мсостояние Зарегистрирован~~утах~~.

Настройка отправки событий

По умолчанию события безопасности KICS for Networks не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.

Для настройки отправки событий необходимо:
1. Перейти на вкладку Параметры – Типы событий
2. Выбрать один или несколько типов событий, которые необходимо передавать
3. Нажать на кнопку Выбрать коннекторы
4. Установить флаг напротив тех систем, в которые необходимо предавать выбранные события
5. Подтвердить выбор нажатием кнопки ОК

После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий ~~Kaspersky~~KICS ~~Anti~~for ~~Targeted Attack Platform.~~Networks.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне ~~KATA.~~KICS for Networks.

2. На шаге Парсинг событий выберите нормализатор [OOTB] ~~KATA.~~KICS4Net v3.х.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Хранилище. Для отправки обработанных событий в хранилище.
Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Настройка псо~~луче~~здания скобыннектийора ~~KATA/EDR~~KICS for Networks (онлайн-справка ~~KUMA)~~KICS for Networks): https://support.kaspersky.com/help/~~KUMA/2.~~KICSforNetworks/3.1/ru-RU/~~240690.~~136497.htm