Plataforma Kaspersky Unified Monitoring and Analysis (KUMA)

Kaspersky Endpoint Security se instala en equipos individuales en la infraestructura de TI corporativa y supervisa continuamente los procesos, las conexiones de red abiertas y los archivos que se modifican. La información sobre los eventos en el equipo (telemetría) se envía al servidor de la plataforma Kaspersky Unified Monitoring and Analysis (KUMA). Kaspersky Endpoint Security también envía información al servidor de KUMA sobre las amenazas descubiertas por la aplicación, así como información sobre los resultados del procesamiento de estas amenazas. En su consola, KUMA muestra los eventos como una lista sin marca, similar al registro de eventos de Windows. Para acceder a todas las funciones de KUMA, debe comprar una licencia e implementar la solución de acuerdo con la Guía del administrador de KUMA.

Integración con KUMA

Para utilizar KUMA, se deben cumplir las siguientes condiciones:

• Kaspersky Security Center versión 14.2 o superior. En versiones anteriores de Kaspersky Security Center, no es posible activar la funcionalidad de integración de KUMA.
• La aplicación está activada y la funcionalidad se incluye en la licencia.
• El componente de integración de KUMA está activado.
• Los componentes de la aplicación que proporcionan compatibilidad con la plataforma Kaspersky Unified Monitoring and Analysis están activados y en ejecución. Los siguientes componentes garantizan el funcionamiento de KUMA:
  • Protección frente a amenazas en archivos.
  • Protección frente a amenazas web.
  • Protección frente a amenazas en el correo.
  • Prevención de exploits.
  • Detección de comportamiento.
  • Prevención de intrusiones en el host.
  • Motor de reparación.
  • Control de anomalías adaptativo.

La configuración de la integración de KUMA implica los siguientes pasos:

1. Instalación del componente de integración de KUMA

   Puede seleccionar el componente de integración de KUMA durante la instalación o la actualización, además de utilizar la tarea Cambiar componentes de la aplicación.

   Debe reiniciar el equipo para terminar de actualizar la aplicación con el nuevo componente.

2. Activación KUMA

   Debe comprar una licencia que incluya el objeto de licencia de telemetría XDR.

   La funcionalidad está disponible después de agregar la clave KUMA independiente. Como resultado, se añaden dos claves en el equipo: una para Kaspersky Endpoint Security y una para Kaspersky Unified Monitoring and Analysis Platform (KUMA).

   La licencia para la funcionalidad independiente de KUMA es la misma licencia que la de Kaspersky Endpoint Security.

   Asegúrese de que la funcionalidad KUMA esté incluida en la licencia y en ejecución en la interfaz local de la aplicación.

3. Conexión a KUMA

   Para conectar el equipo con la aplicación Kaspersky Endpoint Security a la solución KUMA:

   1. En la directiva de Kaspersky Endpoint Security, añada las direcciones del servidor de KUMA y especifique la configuración de red de la conexión.
   2. En la consola de KUMA, añada un recopilador con conectores del tipo tcp o udp y especifique la configuración de red básica de la conexión. Para obtener más información sobre la administración de recopiladores, consulte la Ayuda de la plataforma Kaspersky Unified Monitoring and Analysis.

   Puede establecer una conexión de confianza entre Kaspersky Endpoint Security y los servidores de KUMA. Para configurar una conexión de confianza, debe utilizar un certificado TLS. Puede obtener un certificado TLS en el servidor de KUMA Core (consulte la configuración del conector de tipo tcp en la Ayuda de la plataforma Kaspersky Unified Monitoring and Analysis). A continuación, debe agregar el certificado TLS a Kaspersky Endpoint Security (consulte las instrucciones a continuación).

   Para que la conexión sea más segura, también puede habilitar la verificación del equipo en KUMA (autenticación bidireccional). Para activar esta verificación, debe activar la autenticación bidireccional en la configuración de KUMA y Kaspersky Endpoint Security. Para usar la autenticación bidireccional, también necesitará un contenedor criptográfico. Un contenedor criptográfico es un archivo PFX con un certificado y una clave privada. Debe generar un certificado con la clave privada en formato contenedor PKCS#12 en una autoridad de certificación externa. A continuación, debe añadir el archivo PFX en la consola de KUMA y en Kaspersky Endpoint Security (consulte la configuración del conector de tipo tcp en la Ayuda de la plataforma Kaspersky Unified Monitoring and Analysis).

   Cómo conectar un equipo con Kaspersky Endpoint Security a KUMA mediante la Consola de administración (MMC)

   1. Abra la Consola de administración de Kaspersky Security Center.
   2. En el árbol de la consola, seleccione Directivas.
   3. Seleccione la directiva necesaria y haga doble clic para abrir las propiedades de la directiva.
   4. En la ventana de la directiva, seleccione Integración con KUMA
   5. Seleccione la casilla Integración con KUMA.
   6. Seleccione el protocolo para conectarse a los servidores de KUMA: TCP, UDP.
   7. Añada servidores de KUMA. Para hacer esto, especifique la dirección del servidor (IPv4, IPv6) y el puerto para conectarse al servidor.

      Kaspersky Endpoint Security se conecta al primer servidor de KUMA de la lista. Si la conexión falla, Kaspersky Endpoint Security se conecta al segundo servidor de KUMA de la lista, y así sucesivamente.

   8. Para TCP, puede configurar una conexión de confianza. Para ello, haga clic en el botón Ajustes de conexión a servidores KUMA.
   9. Configure la conexión del servidor:
      • Tiempo de espera. Tiempo de espera máximo de respuesta del servidor de KUMA. Cuando se agota el tiempo de espera, Kaspersky Endpoint Security intenta conectarse a un servidor de KUMA diferente.
      • Certificado TLS del servidor. Certificado TLS para establecer una conexión de confianza con el servidor de KUMA.

        Para establecer una conexión de confianza, en la consola de KUMA, en la configuración del conector tcp, debe seleccionar el With verification Modo TLS (consulte la configuración del conector de tipo tcp en la Ayuda de la plataforma Kaspersky Unified Monitoring and Analysis).

      • Utilizar autenticación bidireccional. Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y KUMA. Para usar la autenticación bidireccional, en la consola de KUMA, en la configuración del conector tcp, debe seleccionar el Custom PFX Modo TLS (consulte la configuración del conector de tipo tcp en el Ayuda de la plataforma Kaspersky Unified Monitoring and Analysis). A continuación, debe obtener un contenedor de cifrado y establecer una contraseña para protegerlo. Un contenedor criptográfico es un archivo PFX con un certificado y una clave privada. Tras configurar KUMA, también debe activar la autenticación bidireccional en la configuración de Kaspersky Endpoint Security, y cargar un contenedor criptográfico protegido con contraseña.

        El contenedor criptográfico debe estar protegido con contraseña. No es posible agregar un contenedor criptográfico con una contraseña en blanco.

   10. Haga clic en Aceptar.
   11. Si es necesario, configure el ajuste Retraso máximo de transmisión de eventos (seg) en el bloque Configuración de transmisión de datos. Cuando se agota el tiempo especificado, Kaspersky Endpoint Security intenta conectarse al mismo servidor o se conecta al siguiente servidor de la lista si hay varios servidores. El valor predeterminado es 30 segundos.
   12. Guarde los cambios.

   Cómo conectar un equipo con Kaspersky Endpoint Security a KUMA mediante Web Console

   1. En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
   2. Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.

      Se abre la ventana de propiedades de la directiva.

   3. Seleccione la ficha Configuración de la aplicación.
   4. Vaya a la sección Integración con KUMA.
   5. Active la opción Activar integración con KUMA.
   6. Seleccione el protocolo para conectarse a los servidores de KUMA: TCP, UDP.
   7. Añada servidores de KUMA. Para hacer esto, especifique la dirección del servidor (IPv4, IPv6) y el puerto para conectarse al servidor.

      Kaspersky Endpoint Security se conecta al primer servidor de KUMA de la lista. Si la conexión falla, Kaspersky Endpoint Security se conecta al segundo servidor de KUMA de la lista, y así sucesivamente.

   8. Para TCP, puede configurar una conexión de confianza. Para ello, haga clic en el botón Ajustes de conexión a servidores KUMA.
   9. Configure la conexión del servidor:
      • Tiempo de espera. Tiempo de espera máximo de respuesta del servidor de KUMA. Cuando se agota el tiempo de espera, Kaspersky Endpoint Security intenta conectarse a un servidor de KUMA diferente.
      • Certificado TLS del servidor. Certificado TLS para establecer una conexión de confianza con el servidor de KUMA.

        Para establecer una conexión de confianza, en la consola de KUMA, en la configuración del conector tcp, debe seleccionar el With verification Modo TLS (consulte la configuración del conector de tipo tcp en la Ayuda de la plataforma Kaspersky Unified Monitoring and Analysis).

      • Utilizar autenticación bidireccional. Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y KUMA. Para usar la autenticación bidireccional, en la consola de KUMA, en la configuración del conector tcp, debe seleccionar el Custom PFX Modo TLS (consulte la configuración del conector de tipo tcp en el Ayuda de la plataforma Kaspersky Unified Monitoring and Analysis). A continuación, debe obtener un contenedor de cifrado y establecer una contraseña para protegerlo. Un contenedor criptográfico es un archivo PFX con un certificado y una clave privada. Tras configurar KUMA, también debe activar la autenticación bidireccional en la configuración de Kaspersky Endpoint Security, y cargar un contenedor criptográfico protegido con contraseña.

        El contenedor criptográfico debe estar protegido con contraseña. No es posible agregar un contenedor criptográfico con una contraseña en blanco.

   10. Haga clic en Aceptar.
   11. Si es necesario, configure el ajuste Tiempo máximo de transmisión de eventos (seg) en el bloque Configuración de transmisión de datos. Cuando se agota el tiempo especificado, Kaspersky Endpoint Security intenta conectarse al mismo servidor o se conecta al siguiente servidor de la lista si hay varios servidores. El valor predeterminado es 30 segundos.
   12. Guarde los cambios.

Como resultado, el equipo se añade a la consola de KUMA. Consulte informe de estado de los componentes de la aplicación para verificar el estado operativo del componente. También puede ver el estado operativo de un componente en los informes de la interfaz local de Kaspersky Endpoint Security. El componente Integración con KUMA se añadirá a la lista de componentes de Kaspersky Endpoint Security.