Kaspersky Unified Monitoring and Analysis Platform
- Справка Kaspersky Unified Monitoring and Analysis Platform
- О программе Kaspersky Unified Monitoring and Analysis Platform
- Архитектура программы
- Лицензирование программы
- Руководство администратора
- Установка и удаление KUMA
- Требования к установке программы
- Порты, используемые KUMA при установке
- Синхронизация времени на серверах
- О файле инвентаря
- Установка на одном сервере
- Распределенная установка
- Распределенная установка в отказоустойчивой конфигурации
- Резервное копирование KUMA
- Изменение конфигурации KUMA
- Обновление предыдущих версий KUMA
- Устранение ошибок при обновлении
- Удаление KUMA
- Работа с тенантами
- Управление пользователями
- Сервисы KUMA
- Инструменты сервисов
- Наборы ресурсов для сервисов
- Создание хранилища
- Создание коррелятора
- Создание коллектора
- Предустановленные коллекторы
- Создание агента
- Настройка источников событий
- Настройка получения событий Auditd
- Настройка получения событий KATA/EDR
- Настройка получения событий Kaspersky Security Center в формате CEF
- Настройка получения событий Kaspersky Security Center из MS SQL
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка аудита событий с устройств Windows
- Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector
- Предоставление прав для просмотра событий Windows
- Предоставление прав входа в качестве службы
- Настройка коллектора KUMA для получения событий с устройств Windows
- Установка коллектора KUMA для получения событий с устройств Windows
- Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)
- Настройка получения событий PostgreSQL
- Настройка получения событий ИВК Кольчуга-К
- Настройка получения событий КриптоПро NGate
- Настройка получения событий Ideco UTM
- Настройка получения событий KWTS
- Настройка получения событий KLMS
- Настройка получения событий KSMG
- Настройка получения событий PT NAD
- Настройка получения событий c помощью плагина MariaDB Audit Plugin
- Настройка получения событий СУБД Apache Cassandra
- Настройка получения событий FreeIPA
- Настройка получения событий VipNet TIAS
- Настройка получения событий Sendmail
- Настройка получения событий Nextcloud
- Настройка получения событий Snort
- Настройка получения событий Suricata
- Настройка получения событий FreeRADIUS
- Настройка получения событий zVirt
- Настройка получения событий Zeek IDS
- Мониторинг источников событий
- Управление активами
- Добавление категории активов
- Настройка таблицы активов
- Поиск активов
- Экспорт данных об активах
- Просмотр информации об активе
- Добавление активов
- Назначение активу категории
- Изменение параметров активов
- Удаление активов
- Обновление программ сторонних производителей и закрытие уязвимостей на активах Kaspersky Security Center
- Перемещение активов в выбранную группу администрирования
- Аудит активов
- Настраиваемые поля активов
- Активы критической информационной инфраструктуры
- Интеграция с другими решениями
- Интеграция с Kaspersky Security Center
- Настройка параметров интеграции с Kaspersky Security Center
- Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center
- Создание подключения к Kaspersky Security Center
- Изменение подключения к Kaspersky Security Center
- Удаление подключения к Kaspersky Security Center
- Импорт событий из базы Kaspersky Security Center
- Интеграция с Kaspersky Endpoint Detection and Response
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Threat Intelligence Portal
- Интеграция с R-Vision Security Orchestration, Automation and Response
- Интеграция с Active Directory, Active Directory Federation Services и FreeIPA
- Подключение по протоколу LDAP
- Включение и выключение LDAP-интеграции
- Добавление тенанта в список тенантов для интеграции с LDAP-сервером
- Создание подключения к LDAP-серверу
- Создание копии подключения к LDAP-серверу
- Изменение подключения к LDAP-серверу
- Изменение частоты обновления данных
- Изменение срока хранения данных
- Запуск задач на обновление данных об учетных записях
- Удаление подключения к LDAP-серверу
- Аутентификация с помощью доменных учетных записей
- Подключение по протоколу LDAP
- Интеграция с НКЦКИ
- Интеграция с Security Vision Incident Response Platform
- Интеграция с Kaspersky Industrial CyberSecurity for Networks
- Интеграция с Kaspersky Automated Security Awareness Platform
- Отправка уведомлений в Telegram
- Интеграция с UserGate
- Интеграция с Kaspersky Web Traffic Security
- Интеграция с Kaspersky Secure Mail Gateway
- Импорт информации об активах из RedCheck
- Интеграция с Kaspersky Security Center
- Управление KUMA
- Работа в режиме иерархии
- Работа с геоданными
- Установка и удаление KUMA
- Руководство пользователя
- Ресурсы KUMA
- Операции с ресурсами
- Точки назначения
- Работа с событиями
- Фильтрация и поиск событий
- Выбор хранилища
- Формирование SQL-запроса с помощью конструктора
- Создание SQL-запроса вручную
- Фильтрация событий по периоду
- Отображение названий вместо идентификаторов
- Пресеты
- Ограничение сложности запросов в режиме расследования алерта
- Сохранение и выбор конфигураций фильтра событий
- Удаление конфигураций фильтра событий
- Поддерживаемые функции ClickHouse
- Просмотр информации о событии
- Экспорт событий
- Настройка таблицы событий
- Обновление таблицы событий
- Получение статистики по событиям в таблице
- Просмотр информации о корреляционном событии
- Фильтрация и поиск событий
- Нормализаторы
- Правила агрегации
- Правила обогащения
- Правила корреляции
- Фильтры
- Активные листы
- Просмотр таблицы активных листов
- Добавление активного листа
- Просмотр параметров активного листа
- Изменение параметров активного листа
- Дублирование параметров активного листа
- Удаление активного листа
- Просмотр записей в активном листе
- Поиск записей в активном листе
- Добавление записи в активный лист
- Дублирование записей в активном листе
- Изменение записи в активном листе
- Удаление записей в активном листе
- Импорт данных в активный лист
- Экспорт данных из активного листа
- Предустановленные активные листы
- Словари
- Правила реагирования
- Шаблоны уведомлений
- Коннекторы
- Секреты
- Правила сегментации
- Пример расследования инцидента с помощью KUMA
- Условия возникновения инцидента
- Шаг 1. Предварительная подготовка
- Шаг 2. Назначение алерта пользователю
- Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
- Шаг 4. Анализ информации об алерте
- Шаг 5. Проверка на ложное срабатывание
- Шаг 6. Определение критичности алерта
- Шаг 7. Создание инцидента
- Шаг 8. Расследование
- Шаг 9. Поиск связанных активов
- Шаг 10. Поиск связанных событий
- Шаг 11. Запись причин инцидента
- Шаг 12. Реагирование на инцидент
- Шаг 13. Восстановление работоспособности активов
- Шаг 14. Закрытие инцидента
- Аналитика
- Панель мониторинга
- Отчеты
- Виджеты
- Работа с алертами
- Работа с инцидентами
- О таблице инцидентов
- Сохранение и выбор конфигураций фильтра инцидентов
- Удаление конфигураций фильтра инцидентов
- Просмотр информации об инциденте
- Создание инцидента
- Обработка инцидентов
- Изменение инцидентов
- Автоматическая привязка алертов к инцидентам
- Категории и типы инцидентов
- Взаимодействие с НКЦКИ
- Особенности экспорта в НКЦКИ из иерархической структуры KUMA
- Экспорт данных в НКЦКИ
- Дополнение данных об инциденте по запросу
- Отправка файлов в НКЦКИ
- Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных
- Обмен сообщениями с сотрудниками НКЦКИ
- Допустимые категории и типы инцидентов НКЦКИ
- Уведомления об изменении статуса инцидента в НКЦКИ
- Ретроспективная проверка
- Ресурсы KUMA
- Обращение в службу технической поддержки
- REST API
- Создание токена
- Настройка прав доступа к API
- Авторизация API-запросов
- Стандартная ошибка
- Операции
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск алертов
- Закрытие алертов
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск сервисов
- Поиск тенантов
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Просмотр пользовательских полей активов
- Создание резервной копии Ядра KUMA
- Восстановление Ядра KUMA из резервной копии
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Модель данных алерта
- Модель данных актива
- Модель данных учетной записи
- События аудита KUMA
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Логин пользователя успешно изменен
- Роль пользователя успешно изменена
- Другие данные пользователя успешно изменены
- Пользователь успешно вышел из системы
- Пароль пользователя успешно изменен
- Пользователь успешно создан
- Пользователю успешно назначена роль
- Роль пользователя успешно отозвана
- Токен доступа пользователя успешно изменен
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Сервис успешно запущен
- Сервис успешно сопряжен
- Статус сервиса изменен
- Раздел хранилища удален пользователем
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно изменен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен
- Ресурс успешно удален
- Ресурс успешно обновлен
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
- Тенант успешно создан
- Тенант успешно включен
- Тенант успешно выключен
- Другие данные тенанта успешно изменены
- Изменена политика хранения данных после изменения дисков
- Словарь успешно обновлен на сервисе или операция завершилась ошибкой
- Ответ в Active Directory
- Реагирование через KICS for Networks
- Реагирование через Kaspersky Automated Security Awareness Platform
- Реагирование через KEDR
- Правила корреляции
- Отправка тестовых событий в KUMA
- Информация о стороннем коде
- Уведомления о товарных знаках
- Глоссарий
Управление активами
Активы представляют собой компьютеры в организации. Вы можете добавить активы в KUMA, тогда KUMA будет автоматически добавлять идентификаторы активов при обогащении событий и при анализе событий вы получите дополнительную информацию о компьютерах в организации.
Вы можете добавить активы в KUMA следующими способами:
- Импортировать активы:
- Из отчета MaxPatrol.
- По расписанию: из Kaspersky Security Center и KICS for Networks.
По умолчанию импорт активов выполняется каждые 12 часов, периодичность можно настроить. Также возможен импорт активов по запросу, при этом выполнение импорта по запросу не повлияет на время импорта по расписанию. KUMA импортирует из базы Kaspersky Security Center сведения об устройствах с установленным Kaspersky Security Center Network Agent, который подключался к Kaspersky Security Center, т.е. поле Connection time в базе SQL — непустое. KUMA импортирует следующие данные о компьютере: имя, адрес, время подключения к Kaspersky Security Center , информацию об оборудовании и программном обеспечении, включая операционную систему, а также об уязвимостях. То есть информацию, которая собирается средствами агента администрирования Kaspersky Security Center.
- Создать активы вручную через веб-интерфейс или с помощью API.
Вы можете добавить активы вручную. При этом необходимо вручную указать следующие данные: адрес, FQDN, название и версия операционной системы, аппаратные характеристики. Добавление информации об уязвимостях активов через веб-интерфейс не предусмотрено. Вы можете указать информацию об уязвимостях, если будете добавлять активы с помощью API.
Вы можете управлять активами KUMA: просматривать информацию об активах, искать активы, добавлять активы, редактировать их и удалять, а также экспортировать данные о них в CSV-файл.
Категории активов
Вы можете разбить активы по категориям и затем использовать категории в условиях фильтров или правил корреляции. Например, можно создавать алерты более высокого уровня важности для активов из более критичной категории. По умолчанию все активы находятся в категории Активы без категории. Устройство можно добавить в несколько категорий.
По умолчанию KUMA категориям активов присвоены следующие уровни критичности: Low, Medium, High, Critical. Вы можете создать пользовательские категории и организовать вложенность. .
Категории можно наполнять следующими способами:
- Вручную
- Активно: динамически, если актив соответствует заданным условиям. Например, с момента перехода актива на указанную версию ОС или размещения актива в указанной подсети актив будет перемещен в заданную категорию.
- В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.
Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.
- В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.
Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять с помощью кнопок Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.
Операнды и операторы фильтра категоризации
Операнд
Операторы
Комментарий
Номер сборки
>, >=, =, <=, <
ОС
=, like
Оператор like обеспечивает регистронезависимый поиск.
IP-адрес
inSubnet, inRange
IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24).
При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.
Полное доменной имя
=, like
Оператор like обеспечивает регистронезависимый поиск.
CVE
=, in
Оператор in позволяет указать массив значений.
ПО
=, like
in
Можно выбрать более одного значения.
Последнее обновление антивирусных баз
>=,<=
Последнее обновление информации
>=,<=
Последнее обновление защиты
>=,<=
Время начала последней сессии
>=,<=
Расширенный статус KSC
in
Расширенный статус устройства.
Можно выбрать более одного значения.
Статус постоянной защиты
=
Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.
Статус шифрования
=
Статус защиты от спама
=
Статус антивирусной защиты почтовых серверов
=
Статус защиты данных от утечек
=
Идентификатор расширенного статуса KSC
=
Статус Endpoint Sensor
=
Последнее появление в сети
>=,<=
- С помощью кнопки Проверить условия убедитесь, что указанный фильтр верен: при нажатии на кнопку отображается окно Активы, найденные по заданным условиям с перечнем активов, удовлетворяющих условиям поиска.
- В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.
- Реактивно: при срабатывания корреляционного правила актив будет перемещаться в указанную группу.
В KUMA активы распределены по тенантам и категориям. Активы выстроены в древовидную структуру, где в корне находятся тенанты и от них ветвятся категории активов. Вы можете просмотреть дерево тенантов и категорий в разделе Активы → Все активы веб-интерфейса KUMA. Если выбрать узел дерева, в правой части окна отображаются активы, относящиеся к соответствующей категории. Активы из подкатегорий выбранной категории отображаются, если вы укажете, что хотите отображать активы рекурсивно. Вы можете выделить флажками тенанты, активы которых хотите просматривать.
Чтобы вызвать контекстное меню категории, наведите указатель мыши на категорию и нажмите на значок с многоточием, который появится справа от названия категории. В контекстном меню доступны следующие действия:
Действия, доступные в контекстном меню категории
Действие |
Описание |
---|---|
Показать активы |
Просмотреть активы выбранной категории в правой части окна. |
Отображать активы рекурсивно |
Просмотреть активы из подкатегорий выбранной категории. Если вы хотите выйти из режима рекурсивного просмотра, выберите категорию для просмотра. |
О категории |
Просмотреть информации о выбранной категории в области деталей Информация о категории, которая отображается в правой части окна веб-интерфейса. |
Начать категоризацию |
Запустить автоматическую привязку активов к выбранной категории. Доступно для категорий с активным способом категоризации. |
Добавить подкатегорию |
Добавить подкатегорию к выбранной категории. |
Изменить категорию |
Изменить выбранную категорию. |
Удалить категорию |
Удалить выбранную категорию. Удалять можно только категории без активов или подкатегорий. В противном случае опция Удалить категорию будет неактивна. |
Сделать закладкой |
Отобразить выбранную категорию на отдельной закладке. Отменить это действие можно, выбрав в контекстном меню нужной категории Убрать из закладок. |
В этом разделе |
См. также: |