Передача в KUMA событий из изолированных сегментов сети
Схема передачи данных
С помощью диодов данных можно передавать события из изолированных сегментов сети в KUMA. Передача данных организована следующим образом:
- Установленный на изолированном сервере агент KUMA с точкой назначения diode принимает события и перемещает их в директорию, из которой события заберет диод данных.
Агент накапливает события в буфере до его переполнения или в течение заданного пользователем срока после последней записи на диск. Затем события записываются в файл во временной директории агента. Файл перемещается в директорию, обрабатываемую диодом данных; в качестве его названия используется хеш-сумма (SHA-256) содержимого файла и время создания файла.
- Диод данных перемещает файлы из директории изолированного сервера в директорию внешнего сервера.
- Установленный на внешнем сервере коллектор KUMA с коннектором diode считывает и обрабатывает события из файлов той директории, в которой размещает файлы диод данных.
После считывания из файла всех событий он автоматически удаляется. Перед считыванием событий происходит верификация содержимого файлов по хеш-сумме в названии файла. Если содержимое не проходит верификацию, файл удаляется.
В указанной выше схеме компоненты KUMA отвечают за перемещение событий в определенную директорию внутри изолированного сегмента и за прием событий из определенной директории во внешнем сегменте сети. Перемещение файлов с событиями из директории изолированного сегмента сети в директорию внешнего сегменте сети осуществляет диод данных.
Для каждого источника данных внутри изолированного сегмента сети необходимо создать свой агент и коллектор KUMA, а также настроить диод данных на работу с отдельными директориями.
Настройка компонентов KUMA
Настройка компонентов KUMA для передачи данных из изолированных сегментов сети состоит из следующих этапов:
- Создание сервиса коллектора во внешнем сегменте сети.
На этом этапе необходимо создать и установить коллектор для получения и обработки файлов, которые диод данных будет перемещать из изолированного сегмента сети. Создать коллектор и все требуемые для него ресурсы можно с помощью мастера установки коллектора.
На шаге Транспорт требуется выбрать или создать коннектор типа diode. В коннекторе необходимо указать директорию, в которую диод данных будет перемещать файлы из изолированного сегмента сети.
Пользователь kuma, под которым работает коллектор, должен иметь права на чтение, запись и удаление в директории, в которую диод данных перемещает данные из изолированного сегмента сети.
- Создание набора ресурсов агента KUMA.
На этом этапе необходимо создать набор ресурсов агента KUMA, который будет в изолированном сегменте сети получать события и подготавливать их для передачи диоду данных. Набор ресурсов diode-агента имеет следующие особенности:
- Точка назначения в агенте должна иметь тип diode. В этом ресурсе необходимо указать директорию, из которой диод данных будет перемещать файлы во внешний сегмент сети.
- Для diode-агента невозможно выбрать коннекторы типа sql или netflow.
- В коннекторе diode-агента должен быть выключен режим TLS.
- Скачивание конфигурационного файла агента в виде JSON-файла.
- Набор ресурсов агента с точкой назначения типа diode необходимо скачать в виде JSON-файла.
- Если в наборе ресурсов агента использовались ресурсы секретов, конфигурационный файл необходимо вручную дополнить данными секретов.
- Установка сервиса агента KUMA в изолированном сегменте сети.
На этом этапе необходимо установить агент в изолированном сегменте сети на основе конфигурационного файла агента, созданного на предыдущем этапе. Установка возможна на устройствах Linux и Windows.
Настройка диода данных
Диод данных необходимо настроить следующим образом:
- Данные необходимо передавать атомарно из директории изолированного сервера (куда их помещает агент KUMA) в директорию внешнего сервера (где их считывает коллектор KUMA).
- Переданные файлы необходимо удалять с изолированного сервера.
Сведения о настройке диода данных можно получить в документации используемого в вашей организации диода данных.
Особенности работы
При работе с изолированными сегментами сети не поддерживаются работа с SQL и NetFlow.
При использовании указанной выше схемы невозможно администрирование агента через веб-интерфейс KUMA, поскольку он располагается в изолированном сегменте сети. В списке активных сервисов KUMA такие агенты не отображаются.