Настройка получения событий Windows с помощью Kaspersky Endpoint Security (KES)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в онлайн-справке на продукт:
https://support.kaspersky.ru/kuma/3.4/280730
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm
Список передаваемых событий ограничен! Подробнее Приложение. События журналов Windows, отправляемые в KUMA
После выполнения настройки KES будет отправлять события с журнала с самой начальной даты (полная перечитка)
В Kaspersky Endpoint Security для Windows, начиная с версии 12.6, появилась возможность отправлять события из журналов Windows в коллектор KUMA. Это позволяет получить в KUMA события из журналов Windows со всех хостов, на которых установлен Kaspersky Endpoint Security для Windows версии 12.6 и выше, без необходимости установки агентов KUMA типа WEC или WMI, развертывания WEC-сервера и создания групповых политик для запуска/конфигурации сервисов Windows.
Для того, чтобы настроить сбор событий Windows с помощью Kaspersky Endpoint Security необходимо:
- иметь действующую лицензию KUMA.
- использовать KSC 14.2 и выше.
- использовать KES для Windows 12.6 или выше.
Настройка получения событий Windows с помощью Kaspersky Endpoint Security состоит из следующих этапов:
- Создание и установка коллектора KUMA для получения событий Windows.
- Запрос ключа в технической поддержке KUMA.
- Если в предоставленной Вам лицензии не было ключа активации компонента Интеграции c KUMA, направьте в техническую поддержку письмо следующего содержания: «У нас приобретена лицензия KUMA и используется KES для Windows версии 12.6. Мы планируем активировать компонент Интеграции c KUMA. Просим предоставить файл ключа для активации соответствующего функционала». Новым пользователям KUMA не требуется писать запрос в техническую поддержку, поскольку новым пользователям будет предоставлено 2 ключа с лицензиями для KUMA и для активации функционала KES для Windows.
В ответ на письмо вам будет предоставлен файл ключа Kaspersky Endpoint Security для Windows KUMA Integration Add-on.
- Настройка на стороне KSC и KES для Windows 12.6.
Файл ключа, активирующий компонент Интеграции c KUMA, необходимо импортировать в KSC и распространить по конечным устройствам KES. Также необходимо в политике KES добавить адрес сервера коллектора KUMA и настроить сетевые параметры подключения.
- Проверка поступления событий Windows в коллектор KUMA.
Создание коллектора KUMA
Для создания коллектора в веб-интерфейсе KUMA:
- Перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник.
- В появившемся окне мастера настройки Создание коллектора на первом шаге (Подключение источников) выберите Имя коллектора и Тенант, к которому будет принадлежать создаваемый коллектор.
- На втором шаге мастера (Транспорт) укажите параметры коннектора для взаимодействия с подключаемым источником:
- Тип – tcp/udp. В данном примере выберите tcp.
- URL – FQDN:порт (порт, на котором коллектор будет ожидать входящие подключения. Выбирается любой из незанятых, выше 1024). В данном примере будет использоваться 5155.
В поле URL можно указать только порт при инсталляции All-in-one.
- На третьем шаге мастера укажите нормализатор. В данном случае рекомендуется использовать «коробочный» нормализатор [OOTB] Microsoft Products via KES WIN.
При отсутствии в списке нормализатора [OOTB] Microsoft Products via KES WIN выполните загрузку нормализатора из репозитория.
- На шаге Фильтрация событий нажмите Добавить фильтр и выберите фильтр [OOTB] Microsoft Products via KES WIN - Event filter for collector.
- Шаги мастера настройки с пятого по шестой являются опциональными, их можно пропустить и вернуться к настройке позднее.
- На седьмом шаге мастера задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор.
- На завершающем шаге мастера нажмите на кнопку Создать и сохранить сервис. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки.
- Нажмите Сохранить.
- После выполнения вышеуказанных действий в разделе Ресурсы → Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
Чтобы установить коллектор KUMA:
- Выполните подключение к CLI сервера, на котором планируется развертывание коллектора KUMA.
- Для установки сервиса коллектора в командной строке выполните команду под учетной записью root, скопированную на прошлом шаге.
- При необходимости добавьте используемый порт сервиса коллектора в исключения МЭ ОС и обновите параметры службы.
- После успешной установки сервиса его статус в веб-консоли KUMA изменится на ВКЛ с зеленой индикацией.
Настройка KSC и KES
Настройка Kaspersky Endpoint Security и Kaspersky Security Center состоит из следующих этапов:
- Установка компонента для интеграции c KUMA.
Вы можете установить компонент для интеграции с KUMA во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения (данный вариант будет использован в нашем примере).
- Активация компонента для интеграции c KUMA.
Полученный файл ключа Kaspersky Endpoint Security для Windows KUMA Integration Add-on, активирующий функционал отправки событий Windows в коллектор KUMA, импортируется в Kaspersky Security Center и распространяется по конечным устройствам с Kaspersky Endpoint Security.
- Подключение к KUMA.
В политике для Kaspersky Endpoint Security добавляется адрес сервера KUMA и выполняется настройка сетевых параметров подключения.
Чтобы добавить компонент для интеграции с KUMA с помощью задачи Изменение состава компонентов приложения в Kaspersky Endpoint Security для Windows:
Kaspersky Security Center Web Console
- Перейдите в раздел Активы (Устройства) → Задачи.
- В Списке задач нажмите на кнопку Добавить.
- Запустится мастер создания задачи.
- Настройте параметры задачи:
- В раскрывающемся списке Приложение выберите используемое приложение Kaspersky Endpoint Security для Windows (в нашем примере 12.8.0).
- В раскрывающемся списке Тип задачи выберите Изменение состава компонентов приложения.
- В поле Название задачи введите название создаваемой задачи.
- В блоке Устройства, которым будет назначена задача выберите Задать адреса устройств вручную или импортировать из списка.
- Нажмите на кнопку Далее.
- В окне Область действия задачи нажмите Добавить устройства. В окне справа Добавить устройства выберите Выбрать устройства, обнаруженные в сети Сервером администрирования. Укажите тестовое устройство или тестовую группу администрирования для добавления компонента.
- Нажмите Добавить и затем Далее.
- В окне Завершение создания задачи установите флажок Открыть окно свойств задачи после ее создания и нажмите кнопку Готово.
- В открывшемся окне свойств задачи перейдите на вкладку Параметры приложения и в секции Выбор компонентов для установки поставьте флажок напротив компонента Интеграция с KUMA.
Если используется пароль для удаления продукта - необходимо поставить флажок напротив Использовать пароль для изменения состава компонентов приложения и указать пользователя и пароль.
- Нажмите Сохранить.
Задача добавления компонента интеграции с KUMA создана.
Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить.
# Пример для firewalld
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp|udp –permanent
firewall-cmd –reload
# Пример для ufw
ufw allow <порт, выбранный для коллектора>/tcp|udp
ufw reloadРезультат выполнения задачи можно посмотреть в свойствах задачи на вкладке Общие.
Для завершения обновления Kaspersky Endpoint Security после добавления нового компонента нужно перезагрузить устройство.
В результате на выбранных устройствах будет установлен компонент Интеграция с KUMA. Убедитесь, что компонент был успешно добавлен на устройства. Для этого в локальном интерфейсе Kaspersky Endpoint Security перейдите в раздел Безопасность.
Добавление компонента для интеграции с KUMA с помощью задачи Изменение состава компонентов приложения в Консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/181472.htm
Далее необходимо активировать компонент Интеграция с KUMA с помощью полученного файла ключа.
Чтобы импортировать в Kaspersky Security Center полученный файл ключа:
Kaspersky Security Center Web Console
- Перейдите в раздел Операции → Лицензии "Лаборатории Касперского".
- Нажмите на кнопку Добавить.
- Появившемся окне справа выберите вариант Добавить файл ключа и нажмите Выберите файл ключа.
- Укажите полученный файл ключа Kaspersky Endpoint Security для Windows KUMA Integration Add-on (имя файла *.key).
В окне появится информация об импортированном ключе.
- Нажмите Сохранить.
Файл ключа успешно импортирован в Kaspersky Security Center.
Импорт файла ключа в Kaspersky Security Center с помощью консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/177935.htm
Чтобы распространить ключ по конечным устройствам Kaspersky Endpoint Security:
Kaspersky Security Center Web Console
- Перейдите в раздел Активы (Устройства) → Задачи.
- В Списке задач нажмите на кнопку Добавить.
- Запустится мастер создания задачи.
- Настройте параметры задачи:
- В раскрывающемся списке Приложение выберите используемое приложение Kaspersky Endpoint Security для Windows (в нашем примере 12.8.0).
- В раскрывающемся списке Тип задачи выберите Добавление ключа.
- В поле Название задачи введите название создаваемой задачи.
- В блоке Устройства, которым будет назначена задача выберите Задать адреса устройств вручную или импортировать из списка.
- Нажмите на кнопку Далее.
- В окне Область действия задачи нажмите Добавить устройства. В окне справа Добавить устройства выберите Выбрать устройства, обнаруженные в сети Сервером администрирования. Укажите тестовое устройство или тестовую группу администрирования для добавления ключа.
- Нажмите Добавить и затем Далее.
- В окне Выбор лицензионного ключа укажите ранее импортированный ключ Kaspersky Endpoint Security для Windows KUMA Integration Add-on. Нажмите Далее.
- В окне Информация о лицензии ознакомьтесь с информацией и нажмите Далее.
- В окне Завершение создания задачи снимите флажок Открыть окно свойств задачи после ее создания и нажмите кнопку Готово.
Задача добавления ключа создана.
Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить.
Результат выполнения задачи можно посмотреть в свойствах задачи на вкладке Общие.
В результате на выбранных устройствах будет еще один активный ключ для интеграции Kaspersky Endpoint Security с KUMA. Убедитесь, что активный ключ для интеграции с KUMA был успешно добавлен на устройства. Для этого в локальном интерфейсе Kaspersky Endpoint Security перейдите в раздел Лицензия.
Распространение ключа по конечным устройствам Kaspersky Endpoint Security с помощью консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/177935.htm
Далее для отправки событий Windows с помощью Kaspersky Endpoint Security необходимо в политике Kaspersky Endpoint Security добавить адрес сервера KUMA и настроить сетевые параметры подключения:
Kaspersky Security Center Web Console
- Перейдите в раздел Активы (Устройства) → Политики и профили политик.
- Нажмите на название используемой политики Kaspersky Endpoint Security для перехода в свойства политики.
- В окне свойств политики перейдите на вкладку Параметры приложения и далее в раздел Интеграция с KUMA.
- Нажмите на Интеграция с KUMA.
- В появившемся окне Интеграция с KUMA:
- Включите переключатель Интеграцию с KUMA.
- Нажмите Добавить.
- В окне справа укажите:
- IP-адрес сервера KUMA (для распределенной инсталляции укажите IP-адрес сервера коллектора KUMA).
- Порт для подключения (см. параметры ранее созданного коллектора Раздел Создание коллектора KUMA)
- Используемый Протокол (см. параметры ранее созданного коллектора Раздел Создание коллектора KUMA).
- Нажмите Сохранить.
- Нажмите ОК.
- Далее нажмите Сохранить.
Для версии KES 12.11 и выше также необходимо указать перечень журналов, из которых будет осуществляться отправка событий. Настройка производится на вкладке "Общие настройки" - "Исключения и типы объектов". Ниже приведен пример добавления журналов для MMC-консоли.
Добавление журнала
Зайдите в настройки политики и откройте исключения.
В перечне журналов выберите галочкой интересующие, либо добавьте из через нопку "Добавить".
В конце настройки проверьте, что все у всех пунктов настройки закрыты замки в политике.
В результате на выбранных устройствах будет активирован компонент для интеграции Kaspersky Endpoint Security с KUMA. Убедитесь, что компонент успешно активирован, для этого в локальном интерфейсе Kaspersky Endpoint Security:
- Перейдите в раздел Безопасность.
- Убедитесь, что индикация статуса компонента Интеграция с KUMA изменилась на зеленый.
- Нажмите на
и в открывшемся окне Отчеты убедитесь, что появилось событие Успешное подключение к серверу KUMA.
Опционально для протокола TCP Вы можете настроить защищенное соединение с использованием протокола TLS:
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm
Настройка политики Kaspersky Endpoint Security для отправки событий Windows в KUMA с помощью консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm
Проверка поступления событий Windows в KUMA
- Для проверки, что сбор событий Windows с помощью Kaspersky Endpoint Security успешно настроен перейдите в Ресурсы → Активные сервисы → выберите ранее созданный коллектор для событий Windows и нажмите Перейти к событиям.
- В открывшемся окне События убедитесь, что присутствуют события с устройств Windows.
Настройка tls для Windows KES
Для настройки защищенного соединения вам нужен TLS-сертифика, далее добавить его в Kaspersky Endpoint Security.
Перед настройкой убедитесь, что события поступают на коллектор без использования tls, а далее переходите к настройке TCP+TLS:
Для настройки транспорта с использованием tcp + tls в меню переходим в Ресурсы -> Активные Сервисы -> Выберите сервис коллектора, отвечающий за прием событий с KES
Далее переходим в раздел транспорт и в основных настройка в параметр “Тип” ставим tcp
В том же разделе переходим в “Дополнительные параметры”, в параметре “Режим TLS” ставим значение Включено
Сохраняем параметры, перезагружаем коллектор.
Получение сертификата
Дя экспорта сертификата, который необходим для загрузки в KES в меню KUMA нажимаем в левом нижнем углу на имя учетной записи пользователя“” -> Дополнительная информация -> Microservice CA сертификат. Сертификат автоматически начнет скачиваться на компьютер
После необходимо поменять расширение файла на crt для его дальнейшего импорта в KSC, иначе он не добавится
core-internal-ca-ca.cert -> core-internal-ca-ca.crt
Добавление TLS-сертификата в Kaspersky Endpoint Security
Этап настройка в KSC: в веб-консоли KSC в меню выбираем “Активы(Устройства)” -> “Политики и профили политик” -> Открываем политику, которая применяется на устройство
Переходим во вкладку “Параметры приложения”
Далее открываем “Интеграция с KUMA”
Разворачиваем “Интеграция с KUMA”
Необходимо проставить галочку в параметр “Использовать шифрование TLS”, а также поменять/поставить в параметр “ip-адрес” FQDN сервера коллектора KUMA (сервера KUMA в случае All-in-One) вместо ipv4
Далее переходим в “Настройки подключения к серверам KUMA”. Необходимо загрузить сертификат, который мы скачивали ранее
После чего придет уведомление об успешной загрузки сертификата TLS. Необходимо все сохранить и вернуться на страницу “Политики и профили политик”
Автоматически политика начнет применяться ко всем устройствам, а чтобы убедиться в ее успешном применении нужно нажать флаг политики, станет доступен параметр среди действий “Результаты применения"
Где можно увидеть статус применения политики на устройства
Важные примечания: устройства, которые будут отправлять события в коллектор с использованием tls, должны корректно «резолвить» имя сервера c коллектором KUMA . Для этого рекомендуется добавить A-запись сервера KUMA/сервера коллектора KUMA на DNS-серверы организации.
Далее переходим в События в KUMA и проверяем наличие событий, поступающих от KES.
