Проверка настройки Kaspersky EDR Expert

На одном из активов можно воспользоваться тестовым "вирусом" EICAR, чтобы убедиться, что Kaspersky EDR Expert правильно развернут и настроен. Если первоначальная настройка была выполнена правильно и были настроены необходимые правила корреляции, соответствующее событие вызовет создание алерта в списке алертов.

Проверка настройки Kaspersky EDR Expert:

  1. Создайте коррелятор в разделе KUMA Консоли OSMP.

    При создании коррелятора не указывайте параметры в разделе Корреляция.

  2. Импортируйте правила корреляции из пакета SOC Content, чтобы получить предустановленные правила корреляции, используемые для обнаружения тестового "вируса" EICAR.
  3. Укажите правило корреляции для созданного коррелятора.

    Вы можете указать правило корреляции одним из следующих способов:

    • Свяжите предустановленное правило корреляции с созданным коррелятором:
      1. Перейдите в раздел Ресурсы, нажмите на Правила корреляции и выберите тенант, к которому будет применяться правило корреляции.
      2. В списке предустановленных правил корреляции выберите правило R077_02_KSC.Malware detected, чтобы обнаруживать события Kaspersky Security Center.
      3. Нажмите на Связать с коррелятором и выберите созданный коррелятор, чтобы связать выбранное правило корреляции с коррелятором.
    • Создайте правило корреляции с предустановленными фильтрами вручную:
      1. Откройте параметры созданного коррелятора, перейдите в раздел Корреляция и нажмите на кнопку Добавить.
      2. В окне Создание правила корреляции на вкладке Общие задайте следующие параметры, так же как и другие параметры:
        • Вид: простой.
        • Наследуемые поля: DestinationAddress, DestinationHostName, DestinationAccountID, DestinationAssetID, DestinationNtDomain, DestinationProcessName, DestinationUserName, DestinationUserID, SourceAccountID, SourceUserName.
      3. Перейдите в раздел СелекторыПараметры и укажите выражение для фильтрации необходимых событий:
        • В режиме конструктора добавьте фильтры событий KSC, Обнаружен вирус приложением KSC и Базовые события с помощью оператора AND.
        • Также вы можете указать это выражение в режиме исходного кода следующим образом:

          filter='b308fc22-fa79-4324-8fc6-291d94ef2999'

          AND filter='a1bf2e45-75f4-45c1-920d-55f5e1b8843f'

          AND filter='1ffa756c-e8d9-466a-a44b-ed8007ca80ca'

      4. В разделе Действия в параметрах правила корреляции установите только флажок В дальнейшую обработку (флажки В коррелятор и Не создавать алерт должны быть сняты). В этом случае при обнаружении тестового "вируса" EICAR будет создано событие корреляции и в списке алертов Kaspersky EDR Expert будет создан алерт.
      5. Нажмите на кнопку Создать, чтобы сохранить параметры правила корреляции, связанные с коррелятором.
  4. Создайте и настройте в разделе KUMA Консоли OSMP коллектор для получения информации о событиях Сервера администрирования из базы данных MS SQL.

    Также вы можете использовать предустановленный коллектор [OOTB] KSC SQL.

  5. В разделе параметров коллектора Маршрутизация установите для поля Тип значение correlator и укажите созданный коррелятор в поле URL, чтобы пересылать ему обработанные события.
  6. Установите Агент администрирования и приложение защиты конечных точек (например, Kaspersky Endpoint Security) на актив в сети вашей организации. Убедитесь, что актив подключен к Серверу администрирования.
  7. Поместите тестовый файл EICAR на актив, а затем обнаружьте тестовый "вирус" с помощью приложения защиты конечных точек.

После этого Сервер администрирования получит уведомление о событии на активе. Это событие будет перенаправлено в компонент KUMA, преобразовано в событие корреляции, после чего в Kaspersky EDR Expert будет создан алерт в списке алертов. Если алерт создан, значит Kaspersky EDR Expert работает правильно.

В начало