При импорте событий из Kaspersky Endpoint Detection and Response телеметрия передается открытым текстом и может быть перехвачена злоумышленником.
Вы можете импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.0, 4.1 и 5.0 с помощью коннектора Kafka.
При импорте событий из Kaspersky Endpoint Detection and Response 4.0 и 4.1 действует ряд ограничений:
Для импорта событий вам потребуется выполнить действия на стороне Kaspersky Endpoint Detection and Response и на стороне KUMA.
Импорт событий Kaspersky Endpoint Detection and Response 4.0 или 4.1
Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.0 или 4.1, выполните следующие действия:
На стороне Kaspersky Endpoint Detection and Response:
Отобразится меню администратора компонента программы.
Отобразится окно подтверждения входа в режим Technical Support Mode.
sudo -i
/etc/sysconfig/apt-services
в поле KAFKA_PORTS
удалите значение 10000
.Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000.
Настоятельно не рекомендуется использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду:
iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP
/usr/bin/apt-start-sedr-iptables
в поле WEB_PORTS
добавьте значение 10000
через запятую без пробела.sudo sh /usr/bin/apt-start-sedr-iptables
Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.
На стороне KUMA:
<IP-адрес> centralnode
в один из следующих файлов:%WINDIR%\System32\drivers\etc\hosts
– для Windows./etc/hosts file
– для Linux.При создании коннектора укажите следующие параметры:
<IP-адрес сервера Central Node>:10000
.EndpointEnrichedEventsTopic
.В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора используйте [OOTB] KEDR telemetry.
При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.
Импорт событий Kaspersky Endpoint Detection and Response 5.0
При импорте событий из Kaspersky Endpoint Detection and Response 5.0 действует ряд ограничений:
Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 5.0, выполните следующие действия:
На стороне Kaspersky Endpoint Detection and Response:
Отобразится меню администратора компонента программы.
Отобразится окно подтверждения входа в режим Technical Support Mode.
/usr/local/lib/python3.8/dist-packages/firewall/create_iptables_rules.py
укажите дополнительный порт 10000
для константы WEB_PORTS
:WEB_PORTS = f'10000,80,{AppPort.APT_AGENT_PORT},{AppPort.APT_GUI_PORT}'
kata-firewall stop
kata-firewall start --cluster-subnet <маска сети для адресации серверов кластера>
Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.
На стороне KUMA:
<IP-адрес> kafka.services.external.dyn.kata
в один из следующих файлов:%WINDIR%\System32\drivers\etc\hosts
– для Windows./etc/hosts file
– для Linux.При создании коннектора укажите следующие параметры:
<IP-адрес сервера Central Node>:10000
.EndpointEnrichedEventsTopic
.В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора рекомендуется использовать нормализатор [OOTB] KEDR telemetry.
При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.
В начало