Настройка получения событий Windows с помощью Kaspersky Endpoint Security для Windows
В KES для Windows, начиная с версии 12.6, есть возможность отправлять события из журналов Windows в коллектор KUMA. Это позволяет получить в KUMA события из журналов Windows (поддерживается ограниченный набор EventID продуктов компании Microsoft) со всех хостов, на которых установлен KES для Windows версии 12.6, без установки агентов KUMA на эти хосты. Чтобы активировать функционал, необходимо:
- иметь действующую лицензию KUMA.
- использовать KSC 14.2 и выше.
- использовать KES для Windows 12.6 или выше.
Настройка получения событий состоит из следующих этапов:
- Импорт нормализатора в KUMA.
В KUMA должно быть настроено получение обновлений через серверы обновлений Лаборатории Касперского.
Нажмите Импорт ресурсов и выберите [OOTB] Microsoft Products via KES WIN в списке доступных к установке нормализаторов.
- Создание коллектора KUMA для получения событий Windows.
Для получения событий Windows на шаге Транспорт выберите TCP или UDP и укажите номер порта, который будет прослушивать коллектор, на шаге Парсинг событий выберите нормализатор [OOTB] Microsoft Products via KES WIN. На шаге Фильтрация событий выберите фильтр [OOTB] Microsoft Products via KES WIN - Event filter for collector.
- Запрос ключа в технической поддержке KUMA.
Если в вашей лицензии не было ключа активации функционала оправки журналов Windows в коллектор KUMA, направьте в техническую поддержку письмо следующего содержания: «У нас приобретена лицензия KUMA и используется KES для Windows версии 12.6. Мы планируем активировать функционал отправки журналов Windows в коллектор KUMA. Просим предоставить файл ключа для активации соответствующего функционала». Новым пользователям KUMA не требуется писать запрос в техническую поддержку, поскольку новым пользователям будет предоставлено 2 ключа с лицензиями для KUMA и для активирования функционала KES для Windows.
В ответ на письмо вам будет предоставлен файл ключа.
- Настройка на стороне KSC и KES для Windows.
Файл ключа, активирующий функционал отправки событий Windows в коллекторы KUMA, необходимо импортировать в KSC и распространить по конечным устройствам KES в соответствии с инструкцией. Также необходимо в политике KES добавить адреса серверов KUMA и настроить сетевые параметры подключения.
- Проверка поступления событий Windows в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий Windows выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.
Перечень передаваемых KES для Windows событий продуктов компании Microsoft приведён в следующей таблице:
Журнал событий
Идентификатор события
DNS Server
150
DNS Server
770
MSExchange Management
1
Security
4781
Security
6416
Security
1100
Security
1102 / 517
Security
1104
Security
1108
Security
4610 / 514
Security
4611
Security
4614 / 518
Security
4616 / 520
Security
4622
Security
4624 / 528 / 540
Security
4625 / 529
Security
4648 / 552
Security
4649
Security
4662
Security
4663
Security
4672 / 576
Security
4696
Security
4697 / 601
Security
4698 / 602
Security
4702
Security
4704 / 608
Security
4706
Security
4713/617
Security
4715
Security
4717 / 621
Security
4719 / 612
Security
4720 / 624
Security
4722 / 626
Security
4723 / 627
Security
4724 / 628
Security
4725 / 629
Security
4726 / 630
Security
4727
Security
4728 / 632
Security
4729 / 633
Security
4732 / 636
Security
4733 / 637
Security
4738 / 642
Security
4739/643
Security
4740 / 644
Security
4741
Security
4742 / 646
Security
4756 / 660
Security
4757 / 661
Security
4765
Security
4766
Security
4767
Security
4768 / 672
Security
4769 / 673
Security
4770
Security
4771 / 675
Security
4775
Security
4776 / 680
Security
4778 / 682
Security
4780 / 684
Security
4794
Security
4798
Security
4817
Security
4876 / 4877
Security
4882
Security
4885
Security
4886
Security
4887
Security
4890
Security
4891
Security
4898
Security
4899
Security
4900
Security
4902
Security
4904
Security
4905
Security
4928
Security
4946
Security
4947
Security
4948
Security
4949
Security
4950
Security
4964
Security
5025
Security
5136
Security
5137
Security
5138
Security
5139
Security
5141
Security
5142
Security
5143
Security
5144
Security
5145
Security
5148
Security
5155
Security
5376
Security
5377
Security
5632
Security
5888
Security
5889
Security
5890
Security
676
System
1
System
104
System
1056
System
12
System
13
System
6011
System
7040
System
7045
System, Source Netlogon
5723
System, Source Netlogon
5805
Terminal-Services-RemoteConnectionManager
1149
Terminal-Services-RemoteConnectionManager
1152
Terminal-Services-RemoteConnectionManager
20523
Terminal-Services-RemoteConnectionManager
258
Terminal-Services-RemoteConnectionManager
261
Windows PowerShell
400
Windows PowerShell
500
Windows PowerShell
501
Windows PowerShell
800
Application, Source ESENT
301
Application, Source ESENT
302
Application, Source ESENT
325
Application, Source ESENT
326
Application, Source ESENT
327
Application, Source ESENT
2001
Application, Source ESENT
2003
Application, Source ESENT
2005
Application, Source ESENT
2006
Application, Source ESENT
216
Application
1000
Application
1002
Application
1 / 2