Kaspersky Unified Monitoring and Analysis Platform (KUMA)
يدعم Kaspersky Endpoint Security for Windows حل Kaspersky Unified Monitoring and Analysis Platform. وKaspersky Unified Monitoring and Analysis Platform (KUMA) هو حل إدارة معلومات الأمان والأحداث (SIEM) للبنية التحتية لتكنولوجيا المعلومات في المؤسسات. ويسمح KUMA باكتشاف التهديدات الأمنية وتحليلها والتخفيف من حدتها قبل أن تتسبب في ضرر.
يتم تثبيت Kaspersky Endpoint Security على أجهزة كمبيوتر فردية على البنية التحتية لتكنولوجيا المعلومات بالشركة ويراقب باستمرار العمليات واتصالات الشبكة المفتوحة والملفات التي يتم تعديلها. ويتم إرسال معلومات عن الأحداث على الكمبيوتر (بيانات القياس عن بُعد) إلى خادم Kaspersky Unified Monitoring and Analysis Platform (KUMA). وفي وحدة التحكم الخاصة به، يعرض KUMA الأحداث في شكل قائمة بدون علامات، مشابه لسجل أحداث Windows. وللوصول إلى كل وظائف KUMA، تحتاج إلى شراء ترخيص ونشر الحل وفقًا لدليل مسؤول KUMA.
التكامل مع KUMA
لاستخدام KUMA، يجب استيفاء الشروط التالية:
Kaspersky Security Center الإصدار 14.2 أو أحدث. وفي الإصدارات السابقة من Kaspersky Security Center، من المستحيل تفعيل وظيفة تكامل KUMA.
يمكنك إنشاء اتصال موثوق بين Kaspersky Endpoint Security وخوادم KUMA. لتكوين اتصال موثوق، يجب عليك استخدام شهادة TLS. ويمكنك الحصول على شهادة TLS على خادم KUMA Core (راجع إعدادات موصل من نوع tcp في تعليمات Kaspersky Unified Monitoring and Analysis Platform). وبعد ذلك يجب عليك إضافة شهادة TLS إلى Kaspersky Endpoint Security (انظر الإرشادات أدناه).
ولجعل الاتصال أكثر أمانًا، يمكنك أيضًا تمكين التحقق من الكمبيوتر في KUMA (المصادقة ثنائية الاتجاه). ولتمكين هذا التحقق، يجب عليك تشغيل المصادقة ثنائية الاتجاه في إعدادات KUMA وKaspersky Endpoint Security. ولاستخدام المصادقة ثنائية الاتجاه، ستحتاج أيضًا إلى حاوية تشفير. وحاوية التشفير هي أرشيف PFX مع شهادة ومفتاح خاص. ويجب إنشاء شهادة باستخدام المفتاح الخاص بتنسيق حاوية PKCS#12 في مرجع شهادة خارجي. ويجب عليك إضافة أرشيف PFX في وحدة تحكم KUMA وفي Kaspersky Endpoint Security (راجع إعدادات الموصل من نوع tcp في تعليمات Kaspersky Unified Monitoring and Analysis Platform).
افتح Kaspersky Security Center Administration Console.
في شجرة وحدة التحكم، حدد Policies.
حدد السياسة اللازمة وانقر نقرًا مزدوجًا لفتح خصائص السياسة.
في نافذة السياسة، حدد تكامل KUMA.
حدد خانة الاختيار تكامل KUMA.
حدد بروتوكول الاتصال بخوادم KUMA: TCP وUDP.
إضافة خوادم KUMA. ولفعل ذلك، حدد عنوان الخادم (IPv4، IPv6) والمنفذ للاتصال بالخادم.
يتصل Kaspersky Endpoint Security بخادم KUMA الأول في القائمة. وفي حالة فشل الاتصال، يتصل Kaspersky Endpoint Security بخادم KUMA الثاني في القائمة وهكذا.
بالنسبة إلى TCP، يمكنك تكوين اتصال موثوق. للقيام بذلك، انقر فوق الزر إعدادات الاتصال بخوادم KUMA.
تكوين اتصال الخادم:
المهلة. الحد الأقصى لمهلة استجابة خادم KUMA. عندما تنتهي المهلة، يحاول Kaspersky Endpoint Security الاتصال بخادم KUMA مختلف.
شهادة TLS للخادم. شهادة TLS لإنشاء اتصال موثوق مع خادم KUMA.
استخدام المصادقة ثنائية الاتجاه. المصادقة ثنائية الاتجاه عند إنشاء اتصال آمن بين Kaspersky Endpoint Security وKUMA. لاستخدام المصادقة ثنائية الاتجاه، في وحدة تحكم KUMA، في إعدادات موصل tcp، يجب عليك تحديد وضع TLS Custom PFX (راجع إعدادات الموصل من نوع tcp في تعليمات Kaspersky Unified Monitoring and Analysis Platform). ثم يجب عليك الحصول على حاوية تشفير وتعيين كلمة مرور لحماية حاوية التشفير. وحاوية التشفير هي أرشيف PFX مع شهادة ومفتاح خاص. وبعد تكوين إعدادات KUMA، تحتاج أيضًا إلى تمكين المصادقة ثنائية الاتجاه في إعدادات Kaspersky Endpoint Security وتحميل حاوية تشفير محمية بكلمة مرور.
يجب أن تكون حاوية التشفير محمية بكلمة مرور. ولا يمكن إضافة حاوية تشفير بكلمة مرور فارغة.
انقر على موافق.
إذا لزم الأمر، كوّن إعداد الحد الأقصى لتأخير إرسال الأحداث (ثانية) في القسم إعدادات نقل البيانات. وعند نفاد الوقت المحدد، يحاول Kaspersky Endpoint Security الاتصال بالخادم نفسه أو الاتصال بالخادم التالي في القائمة في حالة وجود خوادم متعددة. الإعداد الافتراضي هو 30 ثانية.
في النافذة الرئيسية لـ Web Console، حدد Devices ← Policies & profiles.
انقر فوق اسم سياسة Kaspersky Endpoint Security.
فتح نافذة خصائص السياسة.
حدد علامة التبويب Application settings.
انتقل إلى القسم KUMA Integration.
قم بتشغيل مفتاح تمكين تكامل KUMA.
حدد بروتوكول الاتصال بخوادم KUMA: TCP وUDP.
إضافة خوادم KUMA. ولفعل ذلك، حدد عنوان الخادم (IPv4، IPv6) والمنفذ للاتصال بالخادم.
يتصل Kaspersky Endpoint Security بخادم KUMA الأول في القائمة. وفي حالة فشل الاتصال، يتصل Kaspersky Endpoint Security بخادم KUMA الثاني في القائمة وهكذا.
بالنسبة إلى TCP، يمكنك تكوين اتصال موثوق. للقيام بذلك، انقر فوق الزر Settings for connecting to KUMA servers.
تكوين اتصال الخادم:
Timeout. الحد الأقصى لمهلة استجابة خادم KUMA. عندما تنتهي المهلة، يحاول Kaspersky Endpoint Security الاتصال بخادم KUMA مختلف.
Server TLS certificate. شهادة TLS لإنشاء اتصال موثوق مع خادم KUMA.
Use two-way authentication. المصادقة ثنائية الاتجاه عند إنشاء اتصال آمن بين Kaspersky Endpoint Security وKUMA. لاستخدام المصادقة ثنائية الاتجاه، في وحدة تحكم KUMA، في إعدادات موصل tcp، يجب عليك تحديد وضع TLS Custom PFX (راجع إعدادات الموصل من نوع tcp في تعليمات Kaspersky Unified Monitoring and Analysis Platform). ثم يجب عليك الحصول على حاوية تشفير وتعيين كلمة مرور لحماية حاوية التشفير. وحاوية التشفير هي أرشيف PFX مع شهادة ومفتاح خاص. وبعد تكوين إعدادات KUMA، تحتاج أيضًا إلى تمكين المصادقة ثنائية الاتجاه في إعدادات Kaspersky Endpoint Security وتحميل حاوية تشفير محمية بكلمة مرور.
يجب أن تكون حاوية التشفير محمية بكلمة مرور. ولا يمكن إضافة حاوية تشفير بكلمة مرور فارغة.
انقر على OK.
إذا لزم الأمر، كوّن إعداد Maximum events transmission delay (sec) في القسم Data transmission settings. وعند نفاد الوقت المحدد، يحاول Kaspersky Endpoint Security الاتصال بالخادم نفسه أو الاتصال بالخادم التالي في القائمة في حالة وجود خوادم متعددة. الإعداد الافتراضي هو 30 ثانية.
احفظ تغييراتك.
يمكنك التحقق من تكوين استلام أحداث Windows بشكل صحيح في وحدة تحكم KUMA (للمزيد من التفاصيل، راجع تعليمات Kaspersky Unified Monitoring and Analysis Platform). تحقق من حالة تشغيل المكون من خلال عرض Application components status report في وحدة تحكم Kaspersky Security Center. ويمكنك أيضًا عرض حالة تشغيل أحد المكونات في التقارير في الواجهة المحلية لتطبيق Kaspersky Endpoint Security. وستتم إضافة مكون تكامل KUMA إلى قائمة مكونات Kaspersky Endpoint Security.
