Kaspersky Unified Monitoring and Analysis Platform
- Справка Kaspersky Unified Monitoring and Analysis Platform
- О программе Kaspersky Unified Monitoring and Analysis Platform
- Архитектура программы
- Лицензирование программы
- Руководство администратора
- Установка и удаление KUMA
- Требования к установке программы
- Порты, используемые KUMA при установке
- Синхронизация времени на серверах
- О файле инвентаря
- Установка на одном сервере
- Распределенная установка
- Распределенная установка в отказоустойчивой конфигурации
- Резервное копирование KUMA
- Изменение конфигурации KUMA
- Обновление предыдущих версий KUMA
- Устранение ошибок при обновлении
- Удаление KUMA
- Работа с тенантами
- Управление пользователями
- Сервисы KUMA
- Инструменты сервисов
- Наборы ресурсов для сервисов
- Создание хранилища
- Создание коррелятора
- Создание коллектора
- Предустановленные коллекторы
- Создание агента
- Настройка источников событий
- Настройка получения событий Auditd
- Настройка получения событий KATA/EDR
- Настройка получения событий Kaspersky Security Center в формате CEF
- Настройка получения событий Kaspersky Security Center из MS SQL
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка аудита событий с устройств Windows
- Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector
- Предоставление прав для просмотра событий Windows
- Предоставление прав входа в качестве службы
- Настройка коллектора KUMA для получения событий с устройств Windows
- Установка коллектора KUMA для получения событий с устройств Windows
- Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)
- Настройка получения событий PostgreSQL
- Настройка получения событий ИВК Кольчуга-К
- Настройка получения событий КриптоПро NGate
- Настройка получения событий Ideco UTM
- Настройка получения событий KWTS
- Настройка получения событий KLMS
- Настройка получения событий KSMG
- Настройка получения событий PT NAD
- Настройка получения событий c помощью плагина MariaDB Audit Plugin
- Настройка получения событий СУБД Apache Cassandra
- Настройка получения событий FreeIPA
- Настройка получения событий VipNet TIAS
- Настройка получения событий Sendmail
- Настройка получения событий Nextcloud
- Настройка получения событий Snort
- Настройка получения событий Suricata
- Настройка получения событий FreeRADIUS
- Настройка получения событий zVirt
- Настройка получения событий Zeek IDS
- Мониторинг источников событий
- Управление активами
- Добавление категории активов
- Настройка таблицы активов
- Поиск активов
- Экспорт данных об активах
- Просмотр информации об активе
- Добавление активов
- Назначение активу категории
- Изменение параметров активов
- Удаление активов
- Обновление программ сторонних производителей и закрытие уязвимостей на активах Kaspersky Security Center
- Перемещение активов в выбранную группу администрирования
- Аудит активов
- Настраиваемые поля активов
- Активы критической информационной инфраструктуры
- Интеграция с другими решениями
- Интеграция с Kaspersky Security Center
- Настройка параметров интеграции с Kaspersky Security Center
- Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center
- Создание подключения к Kaspersky Security Center
- Изменение подключения к Kaspersky Security Center
- Удаление подключения к Kaspersky Security Center
- Импорт событий из базы Kaspersky Security Center
- Интеграция с Kaspersky Endpoint Detection and Response
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Threat Intelligence Portal
- Интеграция с R-Vision Security Orchestration, Automation and Response
- Интеграция с Active Directory, Active Directory Federation Services и FreeIPA
- Подключение по протоколу LDAP
- Включение и выключение LDAP-интеграции
- Добавление тенанта в список тенантов для интеграции с LDAP-сервером
- Создание подключения к LDAP-серверу
- Создание копии подключения к LDAP-серверу
- Изменение подключения к LDAP-серверу
- Изменение частоты обновления данных
- Изменение срока хранения данных
- Запуск задач на обновление данных об учетных записях
- Удаление подключения к LDAP-серверу
- Аутентификация с помощью доменных учетных записей
- Подключение по протоколу LDAP
- Интеграция с НКЦКИ
- Интеграция с Security Vision Incident Response Platform
- Интеграция с Kaspersky Industrial CyberSecurity for Networks
- Интеграция с Kaspersky Automated Security Awareness Platform
- Отправка уведомлений в Telegram
- Интеграция с UserGate
- Интеграция с Kaspersky Web Traffic Security
- Интеграция с Kaspersky Secure Mail Gateway
- Импорт информации об активах из RedCheck
- Интеграция с Kaspersky Security Center
- Управление KUMA
- Работа в режиме иерархии
- Работа с геоданными
- Установка и удаление KUMA
- Руководство пользователя
- Ресурсы KUMA
- Операции с ресурсами
- Точки назначения
- Работа с событиями
- Фильтрация и поиск событий
- Выбор хранилища
- Формирование SQL-запроса с помощью конструктора
- Создание SQL-запроса вручную
- Фильтрация событий по периоду
- Отображение названий вместо идентификаторов
- Пресеты
- Ограничение сложности запросов в режиме расследования алерта
- Сохранение и выбор конфигураций фильтра событий
- Удаление конфигураций фильтра событий
- Поддерживаемые функции ClickHouse
- Просмотр информации о событии
- Экспорт событий
- Настройка таблицы событий
- Обновление таблицы событий
- Получение статистики по событиям в таблице
- Просмотр информации о корреляционном событии
- Фильтрация и поиск событий
- Нормализаторы
- Правила агрегации
- Правила обогащения
- Правила корреляции
- Фильтры
- Активные листы
- Просмотр таблицы активных листов
- Добавление активного листа
- Просмотр параметров активного листа
- Изменение параметров активного листа
- Дублирование параметров активного листа
- Удаление активного листа
- Просмотр записей в активном листе
- Поиск записей в активном листе
- Добавление записи в активный лист
- Дублирование записей в активном листе
- Изменение записи в активном листе
- Удаление записей в активном листе
- Импорт данных в активный лист
- Экспорт данных из активного листа
- Предустановленные активные листы
- Словари
- Правила реагирования
- Шаблоны уведомлений
- Коннекторы
- Секреты
- Правила сегментации
- Пример расследования инцидента с помощью KUMA
- Условия возникновения инцидента
- Шаг 1. Предварительная подготовка
- Шаг 2. Назначение алерта пользователю
- Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
- Шаг 4. Анализ информации об алерте
- Шаг 5. Проверка на ложное срабатывание
- Шаг 6. Определение критичности алерта
- Шаг 7. Создание инцидента
- Шаг 8. Расследование
- Шаг 9. Поиск связанных активов
- Шаг 10. Поиск связанных событий
- Шаг 11. Запись причин инцидента
- Шаг 12. Реагирование на инцидент
- Шаг 13. Восстановление работоспособности активов
- Шаг 14. Закрытие инцидента
- Аналитика
- Панель мониторинга
- Отчеты
- Виджеты
- Работа с алертами
- Работа с инцидентами
- О таблице инцидентов
- Сохранение и выбор конфигураций фильтра инцидентов
- Удаление конфигураций фильтра инцидентов
- Просмотр информации об инциденте
- Создание инцидента
- Обработка инцидентов
- Изменение инцидентов
- Автоматическая привязка алертов к инцидентам
- Категории и типы инцидентов
- Взаимодействие с НКЦКИ
- Особенности экспорта в НКЦКИ из иерархической структуры KUMA
- Экспорт данных в НКЦКИ
- Дополнение данных об инциденте по запросу
- Отправка файлов в НКЦКИ
- Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных
- Обмен сообщениями с сотрудниками НКЦКИ
- Допустимые категории и типы инцидентов НКЦКИ
- Уведомления об изменении статуса инцидента в НКЦКИ
- Ретроспективная проверка
- Ресурсы KUMA
- Обращение в службу технической поддержки
- REST API
- Создание токена
- Настройка прав доступа к API
- Авторизация API-запросов
- Стандартная ошибка
- Операции
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск алертов
- Закрытие алертов
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск сервисов
- Поиск тенантов
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Просмотр пользовательских полей активов
- Создание резервной копии Ядра KUMA
- Восстановление Ядра KUMA из резервной копии
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Модель данных алерта
- Модель данных актива
- Модель данных учетной записи
- События аудита KUMA
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Логин пользователя успешно изменен
- Роль пользователя успешно изменена
- Другие данные пользователя успешно изменены
- Пользователь успешно вышел из системы
- Пароль пользователя успешно изменен
- Пользователь успешно создан
- Пользователю успешно назначена роль
- Роль пользователя успешно отозвана
- Токен доступа пользователя успешно изменен
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Сервис успешно запущен
- Сервис успешно сопряжен
- Статус сервиса изменен
- Раздел хранилища удален пользователем
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно изменен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен
- Ресурс успешно удален
- Ресурс успешно обновлен
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
- Тенант успешно создан
- Тенант успешно включен
- Тенант успешно выключен
- Другие данные тенанта успешно изменены
- Изменена политика хранения данных после изменения дисков
- Словарь успешно обновлен на сервисе или операция завершилась ошибкой
- Ответ в Active Directory
- Реагирование через KICS for Networks
- Реагирование через Kaspersky Automated Security Awareness Platform
- Реагирование через KEDR
- Правила корреляции
- Отправка тестовых событий в KUMA
- Информация о стороннем коде
- Уведомления о товарных знаках
- Глоссарий
Создание подключения к LDAP-серверу
Чтобы создать LDAP-подключение к Active Directory:
- Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA.
- Выберите или создайте тенант, для которого хотите создать подключение к LDAP.
Откроется окно Интеграция с LDAP-сервером по тенантам.
- Нажмите на кнопку Добавить подключение.
Откроется окно Параметры подключения.
- Добавьте секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
- Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий секрет типа credentials.
Выбранный секрет можно изменить, нажав на кнопку
.
- Если вы хотите создать новый секрет, нажмите на кнопку
.
Откроется окно Секрет.
- В поле Название (обязательно) введите название секрета: от 1 до 128 символов в кодировке Unicode.
- В полях Пользователь и Пароль (обязательно) введите учетные данные для подключения к серверу Active Directory.
Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.
- В поле Описание введите описание до 4000 символов в кодировке Unicode.
- Нажмите на кнопку Сохранить.
- Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий секрет типа credentials.
- В поле Название (обязательно) введите уникальное имя LDAP-подключения.
Длина должна быть от 1 до 128 символов в кодировке Unicode.
- В поле URL (обязательно) введите адрес контроллера домена в формате
<hostname или IP-адрес сервера>:<порт>
.Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.
- Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Тип выберите один из следующих вариантов:
- startTLS.
При использовании метода
startTLSсначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.
Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.
- ssl.
При использовании SSL сразу устанавливается шифрованное соединение по порту 636.
- незащищенный.
При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.
- startTLS.
- Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат. Для этого выполните следующие действия:
- Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Сертификат.
Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.
- Если вы хотите загрузить новый сертификат, справа от списка Сертификат нажмите на кнопку
.
Откроется окно Секрет.
- В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
- По кнопке Загрузить файл сертификата добавьте файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в Base64.
- Если требуется, укажите любую информацию о сертификате в поле Описание.
- Нажмите на кнопку Сохранить.
Сертификат будет загружен и отобразится в списке Сертификат.
- Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Сертификат.
- В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.
Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.
- В поле База поиска (Base DN) введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
- В поле Пользовательские атрибуты учетных записей AD укажите дополнительные атрибуты, с использованием которых вы хотите обогащать события.
Перед настройкой обогащения событий с помощью пользовательских атрибутов убедитесь, что пользовательские атрибуты настроены в AD.
Чтобы обогащать события учетными записями с помощью пользовательских атрибутов:
- Добавьте Пользовательские атрибуты учетных записей AD в Параметрах подключения к LDAP.
Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартный атрибут accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.
Из Active Directory можно запросить следующие атрибуты учетных записей:
accountExpires
badPasswordTime
cn
co
company
department
description
displayName
distinguishedName
division
employeeID
givenName
l
lastLogon
lastLogonTimestamp
mail
mailNickname
managedObjects
manager
memberOf
(по этому атрибуту события можно искать при корреляции)mobile
name
objectCategory
objectGUID
(этот атрибут запрашивается из Active Directory всегда)objectSid
physicalDeliveryOfficeName
pwdLastSet
sAMAccountName
sAMAccountType
sn
streetAddress
telephoneNumber
title
userAccountControl
userPrincipalName
whenChanged
whenCreated
После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.
Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.
- Импортируйте учетные записи.
- В коллекторе в таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP.
- Перезапустите коллектор.
После перезапуска коллектора KUMA начнет обогащать события учётными записями.
- Добавьте Пользовательские атрибуты учетных записей AD в Параметрах подключения к LDAP.
- Установите флажок Выключено, если не хотите использовать это LDAP-подключение.
По умолчанию флажок снят.
- Нажмите на кнопку Сохранить.
LDAP-подключение к Active Directory создано и отображается в окне Интеграция с LDAP-сервером.
Информация об учетных записях из Active Directory будет запрошена сразу после сохранения подключения, а затем будет обновляться с указанной периодичностью.
Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.