Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Kaspersky Endpoint Security wird auf den einzelnen Computern einer IT-Unternehmensinfrastruktur installiert und überwacht kontinuierlich Prozesse, offene Netzwerkverbindungen und geänderte Dateien. Informationen über Ereignisse auf dem Computer (Telemetrie) werden an den Server für Kaspersky Unified Monitoring and Analysis Platform (KUMA) gesendet. Kaspersky Endpoint Security sendet an den KUMA-Server auch Informationen über die von der App erkannten Bedrohungen sowie Informationen über die Verarbeitungsergebnisse dieser Bedrohungen. In der KUMA-Konsole werden Ereignisse als Liste ohne Markierungen angezeigt, ähnlich wie im Windows-Ereignisprotokoll. Um auf alle KUMA-Funktionen zugreifen zu können, müssen Sie eine Lizenz erwerben und die Lösung gemäß dem KUMA-Administratorhandbuch bereitstellen.

Integration mit KUMA

Für die Verwendung von KUMA müssen folgende Bedingungen erfüllt sein:

• Kaspersky Security Center Version 14.2 oder höher. In älteren Versionen von Kaspersky Security Center kann die KUMA-Integrationsfunktionalität nicht aktiviert werden.
• Die Anwendung ist aktiviert und die Funktionalität ist durch die Lizenz abgedeckt.
• Die KUMA-Integrationskomponente ist aktiviert.
• Die App-Komponenten, die die Kaspersky Unified Monitoring and Analysis Platform unterstützen, sind aktiviert und werden ausgeführt. Die folgenden Komponenten gewährleisten den Betrieb von KUMA:
  • Schutz vor bedrohlichen Dateien.
  • Schutz vor Web-Bedrohungen.
  • Schutz vor E-Mail-Bedrohungen.
  • Exploit-Prävention.
  • Verhaltensanalyse.
  • Programm-Überwachung.
  • Rollback von schädlichen Aktionen.
  • Adaptive Kontrolle von Anomalien.

Das Einrichten der KUMA-Integration umfasst die folgenden Schritte:

1. Installation der KUMA-Integrationskomponente

   Sie können die KUMA-Integrationskomponente während der Installation oder beim Upgrade der App auswählen oder die Aufgabe Auswahl der Programmkomponenten ändern verwenden.

   Sie müssen Ihren Computer neu starten, um das Upgrade der App mit der neuen Komponente abzuschließen.

2. KUMA-Aktivierung

   Sie müssen eine Lizenz kaufen, die das Lizenzobjekt XDR-Telemetrie enthält.

   Die Funktionalität ist verfügbar, nachdem der separate KUMA-Schlüssel hinzugefügt wurde. Dadurch werden zwei Schlüssel auf dem Computer hinzugefügt: ein Schlüssel für Kaspersky Endpoint Security und ein Schlüssel für Kaspersky Unified Monitoring and Analysis Platform (KUMA).

   Die Lizenzverwaltung für die eigenständige KUMA-Funktionalität entspricht der Lizenzverwaltung für Kaspersky Endpoint Security.

   Stellen Sie sicher, dass die KUMA-Funktionalität in der Lizenz enthalten ist und dass sie auf der lokalen App-Oberfläche funktioniert.

3. Verbindung mit KUMA herstellen

   So verbinden Sie den Computer, auf dem Kaspersky Endpoint Security installiert ist, mit der KUMA-Lösung:

   1. Fügen Sie in der Kaspersky Endpoint Security-Richtlinie die Adressen des KUMA-Servers hinzu und geben Sie die Netzwerkeinstellungen der Verbindung an.
   2. Fügen Sie in der KUMA-Konsole einen Kollektor mit TCP- oder UDP-Konnektoren hinzu und geben Sie die grundlegenden Netzwerkeinstellungen der Verbindung an. Details zur Verwaltung von Kollektoren finden Sie in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform.

   Sie können eine vertrauenswürdige Verbindung zwischen Kaspersky Endpoint Security und den KUMA-Servern herstellen. Zur Konfiguration einer vertrauenswürdigen Verbindung müssen Sie ein TLS-Zertifikat verwenden. Ein TLS-Zertifikat können Sie auf dem KUMA-Core-Server anfordern (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform). Anschließend müssen Sie das TLS-Zertifikat zu Kaspersky Endpoint Security hinzufügen (siehe Anleitung unten).

   Um die Verbindung sicherer zu machen, können Sie zusätzlich die Überprüfung des Computers in KUMA (Zwei-Wege-Authentifizierung) aktivieren. Zum Aktivieren dieser Überprüfung müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von KUMA und Kaspersky Endpoint Security aktivieren. Zur Verwendung der Zwei-Wege-Authentifizierung benötigen Sie außerdem einen Krypto-Container. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Sie müssen ein Zertifikat mit dem privaten Schlüssel im Containerformat PKCS#12 bei einer externen Zertifizierungsstelle generieren. Anschließend müssen Sie das PFX-Archiv in der KUMA-Konsole und in Kaspersky Endpoint Security hinzufügen (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform).

   So verbinden Sie einen Computer, auf dem Kaspersky Endpoint Security installiert ist, über die Verwaltungskonsole (MMC) mit KUMA

   1. Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
   2. Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
   3. Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
   4. Wählen Sie im Richtlinienfenster den Punkt KUMA-Integration aus.
   5. Aktivieren Sie das Kontrollkästchen KUMA-Integration.
   6. Wählen Sie das Protokoll für die Verbindung mit den KUMA-Servern aus: TCP, UDP.
   7. Fügen Sie KUMA-Server hinzu. Geben Sie dazu die Serveradresse (IPv4, IPv6) und den Port für die Serververbindung an.

      Kaspersky Endpoint Security verbindet sich mit dem ersten KUMA-Server in der Liste. Wenn die Verbindung fehlschlägt, verbindet sich Kaspersky Endpoint Security mit dem zweiten KUMA-Server in der Liste und so weiter.

   8. Für TCP können Sie eine vertrauenswürdige Verbindung konfigurieren. Klicken Sie dazu auf Einstellungen der Verbindung zu KUMA-Servern.
   9. Konfigurieren Sie die Serververbindung:
      • Timeout. Maximales Timeout für die Antwort des KUMA-Servers. Nach Ablauf des Timeouts versucht Kaspersky Endpoint Security, sich mit einem anderen KUMA-Server zu verbinden.
      • TLS-Zertifikat des Servers. TLS-Zertifikat zum Herstellen einer vertrauenswürdigen Verbindung mit dem KUMA-Server.

        Um eine vertrauenswürdige Verbindung herzustellen, müssen Sie in der KUMA-Konsole in den TCP-Konnektor-Einstellungen den TLS-Modus With verification auswählen (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform).

      • Zwei-Wege-Authentifizierung verwenden. Zwei-Wege-Authentifizierung beim Aufbau einer sicheren Verbindung zwischen Kaspersky Endpoint Security und KUMA. Um die Zwei-Wege-Authentifizierung zu verwenden, müssen Sie in der KUMA-Konsole in den TCP-Konnektor-Einstellungen den TLS-Modus Custom PFX auswählen (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform). Dann müssen Sie einen Krypto-Container anfordern und ein Kennwort festlegen, um den Krypto-Container zu schützen. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Nachdem Sie die KUMA-Einstellungen konfiguriert haben, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von Kaspersky Endpoint Security aktivieren und einen kennwortgeschützten Krypto-Container laden.

        Der Krypto-Container muss kennwortgeschützt sein. Ein Krypto-Container mit einem leeren Passwort kann nicht hinzugefügt werden.

   10. Klicken Sie auf OK.
   11. Konfigurieren Sie, sofern erforderlich, die Einstellung Maximale Verzögerung der Ereignisübertragung (Sek.) im Block Einstellungen für die Datenübertragung. Wenn die festgelegte Dauer abgelaufen ist, versucht Kaspersky Endpoint Security, eine Verbindung mit demselben Server herzustellen, oder stellt eine Verbindung mit dem nächsten Server in der Liste her, falls es mehrere Server gibt. Der Standardwert ist 30 Sekunden.
   12. Speichern Sie die vorgenommenen Änderungen.

   So verbinden Sie einen Computer, auf dem Kaspersky Endpoint Security installiert ist, über die Web Console mit KUMA

   1. Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
   2. Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.

      Das Fenster mit den Richtlinieneigenschaften wird geöffnet.

   3. Wählen Sie die Registerkarte Programmeinstellungen aus.
   4. Wechseln Sie zum Abschnitt KUMA-Integration.
   5. Aktivieren Sie den Schalter KUMA-Integration aktivieren.
   6. Wählen Sie das Protokoll für die Verbindung mit den KUMA-Servern aus: TCP, UDP.
   7. Fügen Sie KUMA-Server hinzu. Geben Sie dazu die Serveradresse (IPv4, IPv6) und den Port für die Serververbindung an.

      Kaspersky Endpoint Security verbindet sich mit dem ersten KUMA-Server in der Liste. Wenn die Verbindung fehlschlägt, verbindet sich Kaspersky Endpoint Security mit dem zweiten KUMA-Server in der Liste und so weiter.

   8. Für TCP können Sie eine vertrauenswürdige Verbindung konfigurieren. Klicken Sie dazu auf Einstellungen der Verbindung zu KUMA-Servern.
   9. Konfigurieren Sie die Serververbindung:
      • Timeout. Maximales Timeout für die Antwort des KUMA-Servers. Nach Ablauf des Timeouts versucht Kaspersky Endpoint Security, sich mit einem anderen KUMA-Server zu verbinden.
      • TLS-Serverzertifikat. TLS-Zertifikat zum Herstellen einer vertrauenswürdigen Verbindung mit dem KUMA-Server.

        Um eine vertrauenswürdige Verbindung herzustellen, müssen Sie in der KUMA-Konsole in den TCP-Konnektor-Einstellungen den TLS-Modus With verification auswählen (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform).

      • Zwei-Wege-Authentifizierung verwenden. Zwei-Wege-Authentifizierung beim Aufbau einer sicheren Verbindung zwischen Kaspersky Endpoint Security und KUMA. Um die Zwei-Wege-Authentifizierung zu verwenden, müssen Sie in der KUMA-Konsole in den TCP-Konnektor-Einstellungen den TLS-Modus Custom PFX auswählen (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform). Dann müssen Sie einen Krypto-Container anfordern und ein Kennwort festlegen, um den Krypto-Container zu schützen. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Nachdem Sie die KUMA-Einstellungen konfiguriert haben, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von Kaspersky Endpoint Security aktivieren und einen kennwortgeschützten Krypto-Container laden.

        Der Krypto-Container muss kennwortgeschützt sein. Ein Krypto-Container mit einem leeren Passwort kann nicht hinzugefügt werden.

   10. Klicken Sie auf OK.
   11. Konfigurieren Sie, sofern erforderlich, die Einstellung Maximale Verzögerung der Ereignisübertragung (Sek.) im Block Einstellungen für die Datenübertragung. Wenn die festgelegte Dauer abgelaufen ist, versucht Kaspersky Endpoint Security, eine Verbindung mit demselben Server herzustellen, oder stellt eine Verbindung mit dem nächsten Server in der Liste her, falls es mehrere Server gibt. Der Standardwert ist 30 Sekunden.
   12. Speichern Sie die vorgenommenen Änderungen.

Dadurch wird der Computer in der KUMA-Konsole hinzugefügt. Überprüfen Sie den Betriebsstatus der Komponente, indem Sie sich den Bericht über den Status der Programmkomponenten ansehen. Den Betriebsstatus einer Komponente können Sie auch den Berichten in der lokalen Benutzeroberfläche von Kaspersky Endpoint Security entnehmen. Die Komponente KUMA-Integration wir zur Liste der Kaspersky Endpoint Security-Komponenten hinzugefügt.