Настройка получения событий Windows с помощью Kaspersky Endpoint Security

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в онлайн-справке на продукт:
https://support.kaspersky.ru/kuma/3.4/280730
https://support.kaspersky.com/help/KESWin/12.9/6/ru-RU/274396.274395.htm

Список передаваемых событий ограничен! Подробнее Приложение. События журналов Windows, отправляемые в KUMA

В Kaspersky Endpoint Security для Windows, начиная с версии 12.6, появилась возможность отправлять события из журналов Windows в коллектор KUMA. Это позволяет получить в KUMA события из журналов Windows со всех хостов, на которых установлен Kaspersky Endpoint Security для Windows версии 12.6 и выше, без необходимости установки агентов KUMA типа WEC или WMI, развертывания WEC-сервера и создания групповых политик для запуска/конфигурации сервисов Windows.

Для того, чтобы настроить сбор событий Windows с помощью Kaspersky Endpoint Security необходимо:

• иметь действующую лицензию KUMA. 
• использовать KSC 14.2 и выше.
• использовать KES для Windows 12.6 или выше.

Настройка получения событий Windows с помощью Kaspersky Endpoint Security состоит из следующих этапов:

• Создание и установка коллектора KUMA для получения событий Windows.
• Запрос ключа в технической поддержке KUMA.

Если в предоставленной Вам лицензии не было ключа активации компонента Интеграции c KUMA, направьте в техническую поддержку письмо следующего содержания: «У нас приобретена лицензия KUMA и используется KES для Windows версии 12.6. Мы планируем активировать компонент Интеграции c KUMA. Просим предоставить файл ключа для активации соответствующего функционала». Новым пользователям KUMA не требуется писать запрос в техническую поддержку, поскольку новым пользователям будет предоставлено 2 ключа с лицензиями для KUMA и для активации функционала KES для Windows.

В ответ на письмо вам будет предоставлен файл ключа Kaspersky Endpoint Security для Windows KUMA Integration Add-on.

• Настройка на стороне KSC и KES для Windows 12.6.

Файл ключа, активирующий компонент Интеграции c KUMA, необходимо импортировать в KSC и распространить по конечным устройствам KES. Также необходимо в политике KES добавить адрес сервера коллектора KUMA и настроить сетевые параметры подключения.

• Проверка поступления событий Windows в коллектор KUMA.

Создание коллектора KUMA

Для создания коллектора в веб-интерфейсе KUMA:

• Перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник.
• В появившемся окне мастера настройки Создание коллектора на первом шаге (Подключение источников) выберите Имя коллектора и Тенант, к которому будет принадлежать создаваемый коллектор.

• На втором шаге мастера (Транспорт) укажите параметры коннектора для взаимодействия с подключаемым источником:
  • Тип – tcp/udp. В данном примере выберите tcp.
  • URL – FQDN:порт (порт, на котором коллектор будет ожидать входящие подключения. Выбирается любой из незанятых, выше 1024). В данном примере будет использоваться 5155.

В поле URL можно указать только порт при инсталляции All-in-one.

• На третьем шаге мастера укажите нормализатор. В данном случае рекомендуется использовать «коробочный» нормализатор [OOTB] Microsoft Products via KES WIN.

При отсутствии в списке нормализатора [OOTB] Microsoft Products via KES WIN выполните загрузку нормализатора из репозитория.

• На шаге Фильтрация событий нажмите Добавить фильтр и выберите фильтр [OOTB] Microsoft Products via KES WIN - Event filter for collector.

• Шаги мастера настройки с пятого по шестой являются опциональными, их можно пропустить и вернуться к настройке позднее.
• На седьмом шаге мастера задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор.

 

 

• На завершающем шаге мастера нажмите на кнопку Создать и сохранить сервис. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки.

• Нажмите Сохранить.
• После выполнения вышеуказанных действий в разделе Ресурсы → Активные сервисы появится созданный сервис коллектора.

 

Установка коллектора KUMA

Чтобы установить коллектор KUMA:

• Выполните подключение к CLI сервера, на котором планируется развертывание коллектора KUMA.
• Для установки сервиса коллектора в командной строке выполните команду под учетной записью root, скопированную на прошлом шаге.

• При необходимости добавьте используемый порт сервиса коллектора в исключения МЭ ОС и обновите параметры службы.

# Пример для firewalld
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp|udp –permanent
firewall-cmd –reload

# Пример для ufw
ufw allow <порт, выбранный для коллектора>/tcp|udp
ufw reload

• После успешной установки сервиса его статус в веб-консоли KUMA изменится на ВКЛ с зеленой индикацией.

 

Настройка KSC и KES

Настройка Kaspersky Endpoint Security и Kaspersky Security Center состоит из следующих этапов:

• Установка компонента для интеграции c KUMA.

Вы можете установить компонент для интеграции с KUMA во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения (данный вариант будет использован в нашем примере).

• Активация компонента для интеграции c KUMA.

Полученный файл ключа Kaspersky Endpoint Security для Windows KUMA Integration Add-on, активирующий функционал отправки событий Windows в коллектор KUMA, импортируется в Kaspersky Security Center и распространяется по конечным устройствам с Kaspersky Endpoint Security.

• Подключение к KUMA.

В политике для Kaspersky Endpoint Security добавляется адрес сервера KUMA и выполняется настройка сетевых параметров подключения.

Чтобы добавить компонент для интеграции с KUMA с помощью задачи Изменение состава компонентов приложения в Kaspersky Endpoint Security для Windows:

Kaspersky Security Center Web Console

• Перейдите в раздел Активы (Устройства) → Задачи.
• В Списке задач нажмите на кнопку Добавить.
• Запустится мастер создания задачи.
• Настройте параметры задачи:
  • В раскрывающемся списке Приложение выберите используемое приложение Kaspersky Endpoint Security для Windows (в нашем примере 12.8.0).
  • В раскрывающемся списке Тип задачи выберите Изменение состава компонентов приложения.
  • В поле Название задачи введите название создаваемой задачи.
  • В блоке Устройства, которым будет назначена задача выберите Задать адреса устройств вручную или импортировать из списка.

• Нажмите на кнопку Далее.
• В окне Область действия задачи нажмите Добавить устройства. В окне справа Добавить устройства выберите Выбрать устройства, обнаруженные в сети Сервером администрирования. Укажите тестовое устройство или тестовую группу администрирования для добавления компонента.

• Нажмите Добавить и затем Далее.
• В окне Завершение создания задачи установите флажок Открыть окно свойств задачи после ее создания и нажмите кнопку Готово.
• В открывшемся окне свойств задачи перейдите на вкладку Параметры приложения и в секции Выбор компонентов для установки поставьте флажок напротив компонента Интеграция с KUMA.

• Нажмите Сохранить.

Задача добавления компонента интеграции с KUMA создана.

Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить.

Результат выполнения задачи можно посмотреть в свойствах задачи на вкладке Общие.

Для завершения обновления Kaspersky Endpoint Security после добавления нового компонента нужно перезагрузить устройство.

В результате на выбранных устройствах будет установлен компонент Интеграция с KUMA. Убедитесь, что компонент был успешно добавлен на устройства. Для этого в локальном интерфейсе Kaspersky Endpoint Security перейдите в раздел Безопасность.

Добавление компонента для интеграции с KUMA с помощью задачи Изменение состава компонентов приложения в Консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/181472.htm

Далее необходимо активировать компонент Интеграция с KUMA с помощью полученного файла ключа.

Чтобы импортировать в Kaspersky Security Center полученный файл ключа:

Kaspersky Security Center Web Console

Перейдите в раздел Операции → Лицензии "Лаборатории Касперского". Нажмите на кнопку Добавить. Появившемся окне справа выберите вариант Добавить файл ключа и нажмите Выберите файл ключа. Укажите полученный файл ключа Kaspersky Endpoint Security для Windows KUMA Integration Add-on (имя файла *.key).

В окне появится информация об импортированном ключе.

Нажмите Сохранить.

Файл ключа успешно импортирован в Kaspersky Security Center.

Импорт файла ключа в Kaspersky Security Center с помощью консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/177935.htm

Чтобы распространить ключ по конечным устройствам Kaspersky Endpoint Security:

Kaspersky Security Center Web Console

Перейдите в раздел Активы (Устройства) → Задачи. В Списке задач нажмите на кнопку Добавить. Запустится мастер создания задачи. Настройте параметры задачи:

В раскрывающемся списке Приложение выберите используемое приложение Kaspersky Endpoint Security для Windows (в нашем примере 12.8.0). В раскрывающемся списке Тип задачи выберите Добавление ключа. В поле Название задачи введите название создаваемой задачи. В блоке Устройства, которым будет назначена задача выберите Задать адреса устройств вручную или импортировать из списка.

Нажмите на кнопку Далее. В окне Область действия задачи нажмите Добавить устройства. В окне справа Добавить устройства выберите Выбрать устройства, обнаруженные в сети Сервером администрирования. Укажите тестовое устройство или тестовую группу администрирования для добавления ключа.

Нажмите Добавить и затем Далее. В окне Выбор лицензионного ключа укажите ранее импортированный ключ Kaspersky Endpoint Security для Windows KUMA Integration Add-on. Нажмите Далее. В окне Информация о лицензии ознакомьтесь с информацией и нажмите Далее. В окне Завершение создания задачи снимите флажок Открыть окно свойств задачи после ее создания  и нажмите кнопку Готово.

Задача добавления ключа создана.

Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить.

Результат выполнения задачи можно посмотреть в свойствах задачи на вкладке Общие.

В результате на выбранных устройствах будет еще один активный ключ для интеграции Kaspersky Endpoint Security с KUMA. Убедитесь, что активный ключ для интеграции с KUMA был успешно добавлен на устройства. Для этого в локальном интерфейсе Kaspersky Endpoint Security перейдите в раздел Лицензия.

Распространение ключа по конечным устройствам Kaspersky Endpoint Security с помощью консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/177935.htm

Далее для отправки событий Windows с помощью Kaspersky Endpoint Security необходимо в политике Kaspersky Endpoint Security добавить адрес сервера KUMA и настроить сетевые параметры подключения:

Kaspersky Security Center Web Console

Перейдите в раздел Активы (Устройства) → Политики и профили политик. Нажмите на название используемой политики Kaspersky Endpoint Security для перехода в свойства политики. В окне свойств политики перейдите на вкладку Параметры приложения и далее в раздел Интеграция с KUMA. Нажмите на Интеграция с KUMA.

В появившемся окне Интеграция с KUMA:

Включите переключатель Интеграцию с KUMA. Нажмите Добавить. В окне справа укажите:

   IP-адрес сервера KUMA (для распределенной инсталляции укажите IP-адрес сервера коллектора KUMA).    Порт для подключения (см. параметры ранее созданного коллектора Раздел Создание коллектора KUMA)    Используемый Протокол (см. параметры ранее созданного коллектора Раздел Создание коллектора KUMA).    Нажмите Сохранить.

Нажмите ОК.

Далее нажмите Сохранить.

В результате на выбранных устройствах будет активирован компонент для интеграции Kaspersky Endpoint Security с KUMA. Убедитесь, что компонент успешно активирован, для этого в локальном интерфейсе Kaspersky Endpoint Security:

Перейдите в раздел Безопасность. Убедитесь, что индикация статуса компонента Интеграция с KUMA изменилась на зеленый.

Нажмите на    и в открывшемся окне Отчеты убедитесь, что появилось событие Успешное подключение к серверу KUMA.

Опционально для протокола TCP Вы можете настроить защищенное соединение с использованием протокола TLS:
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm

Настройка политики Kaspersky Endpoint Security для отправки событий Windows в KUMA с помощью консоли администрирования (MMC):
https://support.kaspersky.com/help/KESWin/12.6/ru-RU/274395.htm

Проверка поступления событий Windows в KUMA

Для проверки, что сбор событий Windows с помощью Kaspersky Endpoint Security успешно настроен перейдите в Ресурсы → Активные сервисы → выберите ранее созданный коллектор для событий Windows и нажмите Перейти к событиям.

В открывшемся окне События убедитесь, что присутствуют события с устройств Windows.