Skip to main content

Настройка получения событий Windows с помощью Kaspersky Endpoint Security

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в онлайн-справке на продукт:
https://support.kaspersky.ru/kuma/3.4/280730
https://support.kaspersky.com/KESWin/12.9/ru-RU/274396.htm

Список передаваемых событий ограничен! Подробнее Приложение. События журналов Windows, отправляемые в KUMA

В Kaspersky Endpoint Security для Windows, начиная с версии 12.6, появилась возможность отправлять события из журналов Windows в коллектор KUMA. Это позволяет получить в KUMA события из журналов Windows со всех хостов, на которых установлен Kaspersky Endpoint Security для Windows версии 12.6 и выше, без необходимости установки агентов KUMA типа WEC или WMI, развертывания WEC-сервера и создания групповых политик для запуска/конфигурации сервисов Windows.

Для того, чтобы настроить сбор событий Windows с помощью Kaspersky Endpoint Security необходимо:

  • иметь действующую лицензию KUMA. 
  • использовать KSC 14.2 и выше.
  • использовать KES для Windows 12.6 или выше.

Настройка получения событий Windows с помощью Kaspersky Endpoint Security состоит из следующих этапов:

  • Создание и установка коллектора KUMA для получения событий Windows.
  • Запрос ключа в технической поддержке KUMA.

Если в предоставленной Вам лицензии не было ключа активации компонента Интеграции c KUMA, направьте в техническую поддержку письмо следующего содержания: «У нас приобретена лицензия KUMA и используется KES для Windows версии 12.6. Мы планируем активировать компонент Интеграции c KUMA. Просим предоставить файл ключа для активации соответствующего функционала». Новым пользователям KUMA не требуется писать запрос в техническую поддержку, поскольку новым пользователям будет предоставлено 2 ключа с лицензиями для KUMA и для активации функционала KES для Windows.

В ответ на письмо вам будет предоставлен файл ключа Kaspersky Endpoint Security для Windows KUMA Integration Add-on.

  • Настройка на стороне KSC и KES для Windows 12.6.

Файл ключа, активирующий компонент Интеграции c KUMA, необходимо импортировать в KSC и распространить по конечным устройствам KES. Также необходимо в политике KES добавить адрес сервера коллектора KUMA и настроить сетевые параметры подключения.

  • Проверка поступления событий Windows в коллектор KUMA.

Создание коллектора KUMA

Для создания коллектора в веб-интерфейсе KUMA:

  • Перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник.
  • В появившемся окне мастера настройки Создание коллектора на первом шаге (Подключение источников) выберите Имя коллектора и Тенант, к которому будет принадлежать создаваемый коллектор.

image.png

  • На втором шаге мастера (Транспорт) укажите параметры коннектора для взаимодействия с подключаемым источником:
    • Типtcp/udp. В данном примере выберите tcp.
    • URL FQDN:порт (порт, на котором коллектор будет ожидать входящие подключения. Выбирается любой из незанятых, выше 1024). В данном примере будет использоваться 5155.

В поле URL можно указать только порт при инсталляции All-in-one.

image.png

  • На третьем шаге мастера укажите нормализатор. В данном случае рекомендуется использовать «коробочный» нормализатор [OOTB] Microsoft Products via KES WIN.

При отсутствии в списке нормализатора [OOTB] Microsoft Products via KES WIN выполните загрузку нормализатора из репозитория.

image.png

image.png

  • На шаге Фильтрация событий нажмите Добавить фильтр и выберите фильтр [OOTB] Microsoft Products via KES WIN - Event filter for collector.

image.png

  • Шаги мастера настройки с пятого по шестой являются опциональными, их можно пропустить и вернуться к настройке позднее.
  • На седьмом шаге мастера задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор.

image.png

 

image.png

 

image.png

image.png

  • На завершающем шаге мастера нажмите на кнопку Создать и сохранить сервис. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки.

image.png

  • Нажмите Сохранить.
  • После выполнения вышеуказанных действий в разделе Ресурсы  Активные сервисы появится созданный сервис коллектора.

image.png

 

Установка коллектора KUMA

Чтобы установить коллектор KUMA:

  • Выполните подключение к CLI сервера, на котором планируется развертывание коллектора KUMA.
  • Для установки сервиса коллектора в командной строке выполните команду под учетной записью root, скопированную на прошлом шаге.

image.png

  • При необходимости добавьте используемый порт сервиса коллектора в исключения МЭ ОС и обновите параметры службы.
# Пример для firewalld
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp|udp –permanent
firewall-cmd –reload

# Пример для ufw
ufw allow <порт, выбранный для коллектора>/tcp|udp
ufw reload
  • После успешной установки сервиса его статус в веб-консоли KUMA изменится на ВКЛ с зеленой индикацией.

image.png

 

Настройка KSC и KES

Настройка Kaspersky Endpoint Security и Kaspersky Security Center состоит из следующих этапов:

  • Установка компонента для интеграции c KUMA.

Вы можете установить компонент для интеграции с KUMA во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения (данный вариант будет использован в нашем примере).

  • Активация компонента для интеграции c KUMA.

Полученный файл ключа Kaspersky Endpoint Security для Windows KUMA Integration Add-on, активирующий функционал отправки событий Windows в коллектор KUMA, импортируется в Kaspersky Security Center и распространяется по конечным устройствам с Kaspersky Endpoint Security.

  • Подключение к KUMA.

В политике для Kaspersky Endpoint Security добавляется адрес сервера KUMA и выполняется настройка сетевых параметров подключения.

Чтобы добавить компонент для интеграции с KUMA с помощью задачи Изменение состава компонентов приложения в Kaspersky Endpoint Security для Windows:

Kaspersky Security Center Web Console

  • Перейдите в раздел Активы (Устройства) Задачи.
  • В Списке задач нажмите на кнопку Добавить.
  • Запустится мастер создания задачи.
  • Настройте параметры задачи:
    • В раскрывающемся списке Приложение выберите используемое приложение Kaspersky Endpoint Security для Windows (в нашем примере 12.8.0).
    • В раскрывающемся списке Тип задачи выберите Изменение состава компонентов приложения.
    • В поле Название задачи введите название создаваемой задачи.
    • В блоке Устройства, которым будет назначена задача выберите Задать адреса устройств вручную или импортировать из списка.

image.png

  • Нажмите на кнопку Далее.
  • В окне Область действия задачи нажмите Добавить устройства. В окне справа Добавить устройства выберите Выбрать устройства, обнаруженные в сети Сервером администрирования. Укажите тестовое устройство или тестовую группу администрирования для добавления компонента.

image.png

  • Нажмите Добавить и затем Далее.
  • В окне Завершение создания задачи установите флажок Открыть окно свойств задачи после ее создания и нажмите кнопку Готово.
  • В открывшемся окне свойств задачи перейдите на вкладку Параметры приложения и в секции Выбор компонентов для установки поставьте флажок напротив компонента Интеграция с KUMA.

image.png

  • Нажмите Сохранить.

Задача добавления компонента интеграции с KUMA создана.

Back to top