Настройка получения событий Windows с помощью Kaspersky Endpoint Security (KES)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в онлайн-справке на продукт:
https://support.kaspersky.ru/kuma/3.4/280730
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm

Список передаваемых событий ограничен! Подробнее Приложение. События журналов Windows, отправляемые в KUMA

После выполнения настройки KES будет отправлять события с журнала с самой начальной даты (полная перечитка)

В Kaspersky Endpoint Security для Windows, начиная с версии 12.6, появилась возможность отправлять события из журналов Windows в коллектор KUMA. Это позволяет получить в KUMA события из журналов Windows со всех хостов, на которых установлен Kaspersky Endpoint Security для Windows версии 12.6 и выше, без необходимости установки агентов KUMA типа WEC или WMI, развертывания WEC-сервера и создания групповых политик для запуска/конфигурации сервисов Windows.

Для того, чтобы настроить сбор событий Windows с помощью Kaspersky Endpoint Security необходимо:

• иметь действующую лицензию KUMA. 
• использовать KSC 14.2 и выше.
• использовать KES для Windows 12.6 или выше.

Настройка получения событий Windows с помощью Kaspersky Endpoint Security состоит из следующих этапов:

• Создание и установка коллектора KUMA для получения событий Windows.
• Запрос ключа в технической поддержке KUMA.

Если в предоставленной Вам лицензии не было ключа активации компонента Интеграции c KUMA, направьте в техническую поддержку письмо следующего содержания: «У нас приобретена лицензия KUMA и используется KES для Windows версии 12.6. Мы планируем активировать компонент Интеграции c KUMA. Просим предоставить файл ключа для активации соответствующего функционала». Новым пользователям KUMA не требуется писать запрос в техническую поддержку, поскольку новым пользователям будет предоставлено 2 ключа с лицензиями для KUMA и для активации функционала KES для Windows.

В ответ на письмо вам будет предоставлен файл ключа Kaspersky Endpoint Security для Windows KUMA Integration Add-on.

• Настройка на стороне KSC и KES для Windows 12.6.

Файл ключа, активирующий компонент Интеграции c KUMA, необходимо импортировать в KSC и распространить по конечным устройствам KES. Также необходимо в политике KES добавить адрес сервера коллектора KUMA и настроить сетевые параметры подключения.

• Проверка поступления событий Windows в коллектор KUMA.

Создание коллектора KUMA

Для создания коллектора в веб-интерфейсе KUMA:

• Перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник.
• В появившемся окне мастера настройки Создание коллектора на первом шаге (Подключение источников) выберите Имя коллектора и Тенант, к которому будет принадлежать создаваемый коллектор.

• На втором шаге мастера (Транспорт) укажите параметры коннектора для взаимодействия с подключаемым источником:
  • Тип – tcp/udp. В данном примере выберите tcp.
  • URL – FQDN:порт (порт, на котором коллектор будет ожидать входящие подключения. Выбирается любой из незанятых, выше 1024). В данном примере будет использоваться 5155.

В поле URL можно указать только порт при инсталляции All-in-one.

• На третьем шаге мастера укажите нормализатор. В данном случае рекомендуется использовать «коробочный» нормализатор [OOTB] Microsoft Products via KES WIN.

При отсутствии в списке нормализатора [OOTB] Microsoft Products via KES WIN выполните загрузку нормализатора из репозитория.

• На шаге Фильтрация событий нажмите Добавить фильтр и выберите фильтр [OOTB] Microsoft Products via KES WIN - Event filter for collector.

• Шаги мастера настройки с пятого по шестой являются опциональными, их можно пропустить и вернуться к настройке позднее.
• На седьмом шаге мастера задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор.

• На завершающем шаге мастера нажмите на кнопку Создать и сохранить сервис. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки.

• Нажмите Сохранить.
• После выполнения вышеуказанных действий в разделе Ресурсы → Активные сервисы появится созданный сервис коллектора.

Установка коллектора KUMA

Чтобы установить коллектор KUMA:

• Выполните подключение к CLI сервера, на котором планируется развертывание коллектора KUMA.
• Для установки сервиса коллектора в командной строке выполните команду под учетной записью root, скопированную на прошлом шаге.

• При необходимости добавьте используемый порт сервиса коллектора в исключения МЭ ОС и обновите параметры службы.

# Пример для firewalld
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp|udp –permanent
firewall-cmd –reload

# Пример для ufw
ufw allow <порт, выбранный для коллектора>/tcp|udp
ufw reload

• После успешной установки сервиса его статус в веб-консоли KUMA изменится на ВКЛ с зеленой индикацией.

Настройка KSC и KES

Настройка Kaspersky Endpoint Security и Kaspersky Security Center состоит из следующих этапов:

• Установка компонента для интеграции c KUMA.

Вы можете установить компонент для интеграции с KUMA во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения (данный вариант будет использован в нашем примере).

• Активация компонента для интеграции c KUMA.

Полученный файл ключа Kaspersky Endpoint Security для Windows KUMA Integration Add-on, активирующий функционал отправки событий Windows в коллектор KUMA, импортируется в Kaspersky Security Center и распространяется по конечным устройствам с Kaspersky Endpoint Security.

• Подключение к KUMA.

В политике для Kaspersky Endpoint Security добавляется адрес сервера KUMA и выполняется настройка сетевых параметров подключения.

Чтобы добавить компонент для интеграции с KUMA с помощью задачи Изменение состава компонентов приложения в Kaspersky Endpoint Security для Windows:

Kaspersky Security Center Web Console

• Перейдите в раздел Активы (Устройства) → Задачи.
• В Списке задач нажмите на кнопку Добавить.
• Запустится мастер создания задачи.
• Настройте параметры задачи:
  • В раскрывающемся списке Приложение выберите используемое приложение Kaspersky Endpoint Security для Windows (в нашем примере 12.8.0).
  • В раскрывающемся списке Тип задачи выберите Изменение состава компонентов приложения.
  • В поле Название задачи введите название создаваемой задачи.
  • В блоке Устройства, которым будет назначена задача выберите Задать адреса устройств вручную или импортировать из списка.

• Нажмите на кнопку Далее.
• В окне Область действия задачи нажмите Добавить устройства. В окне справа Добавить устройства выберите Выбрать устройства, обнаруженные в сети Сервером администрирования. Укажите тестовое устройство или тестовую группу администрирования для добавления компонента.

• Нажмите Добавить и затем Далее.
• В окне Завершение создания задачи установите флажок Открыть окно свойств задачи после ее создания и нажмите кнопку Готово.
• В открывшемся окне свойств задачи перейдите на вкладку Параметры приложения и в секции Выбор компонентов для установки поставьте флажок напротив компонента Интеграция с KUMA.

Если используется пароль для удаления продукта - необходимо поставить флажок напротив Использовать пароль для изменения состава компонентов приложения и указать пользователя и пароль.

• Нажмите Сохранить.

Задача добавления компонента интеграции с KUMA создана.

Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить.

Результат выполнения задачи можно посмотреть в свойствах задачи на вкладке Общие.

Для завершения обновления Kaspersky Endpoint Security после добавления нового компонента нужно перезагрузить устройство.

В результате на выбранных устройствах будет установлен компонент Интеграция с KUMA. Убедитесь, что компонент был успешно добавлен на устройства. Для этого в локальном интерфейсе Kaspersky Endpoint Security перейдите в раздел Безопасность.

Добавление компонента для интеграции с KUMA с помощью задачи Изменение состава компонентов приложения в Консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/181472.htm

Далее необходимо активировать компонент Интеграция с KUMA с помощью полученного файла ключа.

Чтобы импортировать в Kaspersky Security Center полученный файл ключа:

Kaspersky Security Center Web Console

• Перейдите в раздел Операции → Лицензии "Лаборатории Касперского".
• Нажмите на кнопку Добавить.
• Появившемся окне справа выберите вариант Добавить файл ключа и нажмите Выберите файл ключа.
• Укажите полученный файл ключа Kaspersky Endpoint Security для Windows KUMA Integration Add-on (имя файла *.key).

В окне появится информация об импортированном ключе.

• Нажмите Сохранить.

Файл ключа успешно импортирован в Kaspersky Security Center.

Импорт файла ключа в Kaspersky Security Center с помощью консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/177935.htm

Чтобы распространить ключ по конечным устройствам Kaspersky Endpoint Security:

Kaspersky Security Center Web Console

• Перейдите в раздел Активы (Устройства) → Задачи.
• В Списке задач нажмите на кнопку Добавить.
• Запустится мастер создания задачи.
• Настройте параметры задачи:
  • В раскрывающемся списке Приложение выберите используемое приложение Kaspersky Endpoint Security для Windows (в нашем примере 12.8.0).
  • В раскрывающемся списке Тип задачи выберите Добавление ключа.
  • В поле Название задачи введите название создаваемой задачи.
  • В блоке Устройства, которым будет назначена задача выберите Задать адреса устройств вручную или импортировать из списка.

• Нажмите на кнопку Далее.
• В окне Область действия задачи нажмите Добавить устройства. В окне справа Добавить устройства выберите Выбрать устройства, обнаруженные в сети Сервером администрирования. Укажите тестовое устройство или тестовую группу администрирования для добавления ключа.

• Нажмите Добавить и затем Далее.
• В окне Выбор лицензионного ключа укажите ранее импортированный ключ Kaspersky Endpoint Security для Windows KUMA Integration Add-on. Нажмите Далее.
• В окне Информация о лицензии ознакомьтесь с информацией и нажмите Далее.
• В окне Завершение создания задачи снимите флажок Открыть окно свойств задачи после ее создания  и нажмите кнопку Готово.

Задача добавления ключа создана.

Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить.

Результат выполнения задачи можно посмотреть в свойствах задачи на вкладке Общие.

В результате на выбранных устройствах будет еще один активный ключ для интеграции Kaspersky Endpoint Security с KUMA. Убедитесь, что активный ключ для интеграции с KUMA был успешно добавлен на устройства. Для этого в локальном интерфейсе Kaspersky Endpoint Security перейдите в раздел Лицензия.

Распространение ключа по конечным устройствам Kaspersky Endpoint Security с помощью консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/177935.htm

Далее для отправки событий Windows с помощью Kaspersky Endpoint Security необходимо в политике Kaspersky Endpoint Security добавить адрес сервера KUMA и настроить сетевые параметры подключения:

Kaspersky Security Center Web Console

• Перейдите в раздел Активы (Устройства) → Политики и профили политик.
• Нажмите на название используемой политики Kaspersky Endpoint Security для перехода в свойства политики.
• В окне свойств политики перейдите на вкладку Параметры приложения и далее в раздел Интеграция с KUMA.
• Нажмите на Интеграция с KUMA.

• В появившемся окне Интеграция с KUMA:
  • Включите переключатель Интеграцию с KUMA.
  • Нажмите Добавить.
  • В окне справа укажите:
    •    IP-адрес сервера KUMA (для распределенной инсталляции укажите IP-адрес сервера коллектора KUMA).
    •    Порт для подключения (см. параметры ранее созданного коллектора Раздел Создание коллектора KUMA)
    •    Используемый Протокол (см. параметры ранее созданного коллектора Раздел Создание коллектора KUMA).
    •    Нажмите Сохранить.

• Нажмите ОК.

• Далее нажмите Сохранить.

В результате на выбранных устройствах будет активирован компонент для интеграции Kaspersky Endpoint Security с KUMA. Убедитесь, что компонент успешно активирован, для этого в локальном интерфейсе Kaspersky Endpoint Security:

• Перейдите в раздел Безопасность.
• Убедитесь, что индикация статуса компонента Интеграция с KUMA изменилась на зеленый.

• Нажмите на   и в открывшемся окне Отчеты убедитесь, что появилось событие Успешное подключение к серверу KUMA.

Опционально для протокола TCP Вы можете настроить защищенное соединение с использованием протокола TLS:
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm

Настройка политики Kaspersky Endpoint Security для отправки событий Windows в KUMA с помощью консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm

Проверка поступления событий Windows в KUMA

• Для проверки, что сбор событий Windows с помощью Kaspersky Endpoint Security успешно настроен перейдите в Ресурсы → Активные сервисы → выберите ранее созданный коллектор для событий Windows и нажмите Перейти к событиям.

• В открывшемся окне События убедитесь, что присутствуют события с устройств Windows.