Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Aplikace Kaspersky Endpoint Security pro systém Windows podporuje řešení Kaspersky Unified Monitoring and Analysis Platform. Kaspersky Unified Monitoring and Analysis Platform (KUMA) je řešení pro správu bezpečnostních informací a událostí (SIEM) pro IT infrastrukturu organizací. KUMA umožňuje detekovat, analyzovat a zmírňovat bezpečnostní hrozby dříve, než mohou způsobit škodu.

Aplikace Kaspersky Endpoint Security se instaluje na jednotlivé počítače v podnikové IT infrastruktuře a nepřetržitě sleduje procesy, otevřená síťová připojení a upravované soubory. Informace o událostech v počítači (telemetrie) jsou odesílány na server KUMA (Kaspersky Unified Monitoring and Analysis Platform). Aplikace Kaspersky Endpoint Security také odesílá na server KUMA informace o hrozbách objevených aplikací a také informace o výsledcích zpracování těchto hrozeb. KUMA ve své konzole zobrazuje události jako seznam bez označení, podobně jako protokol událostí systému Windows. Abyste získali přístup ke všem funkcím KUMA, musíte si zakoupit licenci a nasadit řešení v souladu s příručkou správce KUMA.

Integrace s KUMA

Abyste mohli KUMA používat, musí být splněny následující podmínky:

Kaspersky Security Center verze 14.2 nebo novější. Ve starších verzích aplikace Kaspersky Security Center není možné integraci KUMA aktivovat.
Je aktivována aplikace a na její funkčnost se vztahuje licence.
Je povolena součást pro integraci KUMA.
Součásti aplikace, které poskytují podporu Kaspersky Unified Monitoring and Analysis Platform, jsou povoleny a spuštěny. Provoz KUMA zajišťují následující součásti:

Nastavení integrace KUMA zahrnuje následující kroky:

Instalace součásti pro integraci KUMA
Součást pro integraci KUMA můžete vybrat během instalace nebo upgradu aplikace a dále použitím úlohy Změna součástí aplikace.

Pro dokončení aktualizace aplikace novou součástí je nutné restartovat počítač.
Aktivace KUMA
Musíte si zakoupit licenci, která obsahuje objekt telemetrické licence XDR.

Funkce se zpřístupní po přidání samostatného klíče KUMA. V počítači tak jsou přidány dva klíče: klíč pro aplikaci Kaspersky Endpoint Security a klíč pro řešení Kaspersky Unified Monitoring and Analysis Platform (KUMA).

Fungování licence k samostatné funkci KUMA je stejné jako fungování licence k aplikaci Kaspersky Endpoint Security.

Ověřte, zda je funkce KUMA součástí licence a je spuštěna v místním rozhraní aplikace.
Připojování ke KUMA
Postup připojení počítače s aplikací Kaspersky Endpoint Security k řešení KUMA:
1. V zásadách aplikace Kaspersky Endpoint Security přidejte adresy serveru KUMA a zadejte síťová nastavení připojení.
2. V konzole KUMA přidejte kolektor s konektory typu tcp nebo udp a zadejte základní síťová nastavení připojení. Podrobnosti o správě kolektorů naleznete v nápovědě k platformě Kaspersky Unified Monitoring and Analysis Platform.
Můžete vytvořit důvěryhodné připojení mezi Kaspersky Endpoint Security a servery KUMA. Chcete-li nakonfigurovat důvěryhodné připojení, musíte použít certifikát TLS. Certifikát TLS můžete získat na serveru KUMA Core (viz nastavení konektoru typu tcp v nápovědě k platformě Kaspersky Unified Monitoring and Analysis Platform). Poté musíte přidat certifikát TLS do aplikace Kaspersky Endpoint Security (viz pokyny níže).

Aby bylo připojení bezpečnější, můžete navíc povolit ověření počítače v KUMA (ověřování na obou stranách). Chcete-li povolit toto ověření, musíte zapnout ověřování na obou stranách v nastavení součásti KUMA a aplikace Kaspersky Endpoint Security. Chcete-li používat ověřování na obou stranách, budete také potřebovat kryptokontejner. Kryptokontejner je PFX archiv s certifikátem a soukromým klíčem. Certifikát s privátním klíčem ve formátu kontejneru PKCS#12 musíte vygenerovat u externí certifikační autority. Poté musíte přidat archiv PFX do konzoly KUMA a do aplikace Kaspersky Endpoint Security (viz nastavení konektoru typu tcp v nápovědě k platformě Kaspersky Unified Monitoring and Analysis Platform).

Jak připojit počítač Kaspersky Endpoint Security k součásti KUMA pomocí konzoly pro správu (MMC)
1. Otevřete konzolu pro správu aplikace Kaspersky Security Center.
2. Ve stromu konzoly vyberte možnost Policies.
3. Vyberte potřebnou zásadu a dvojitým kliknutím otevřete vlastnosti zásady.
4. V okně zásad vyberte možnosti Integrace KUMA.
5. Zaškrtněte políčko Integrace KUMA.
6. Vyberte protokol pro připojení k serverům KUMA: TCP, UDP.
7. Přidejte servery KUMA. Chcete-li to provést, zadejte adresu serveru (IPv4, IPv6) a port pro připojení k serveru.
  Aplikace Kaspersky Endpoint Security se připojí k prvnímu serveru KUMA v seznamu. Pokud se připojení nezdaří, aplikace Kaspersky Endpoint Security se připojí k druhému serveru KUMA v seznamu a tak dále.
8. Pro TCP můžete nakonfigurovat důvěryhodné připojení. To provedete tak, že kliknete na tlačítko Nastavení pro připojení k serverům KUMA.
9. Nakonfigurujte připojení k serveru:
  - Časový limit. Maximální časový limit odpovědi serveru KUMA. Když časový limit vyprší, Kaspersky Endpoint Security se pokusí připojit k jinému serveru KUMA.
  - Certifikát TLS serveru. Certifikát TLS pro navázání důvěryhodného spojení se serverem KUMA.
    Chcete-li vytvořit důvěryhodné připojení, v konzole KUMA v nastavení konektoru TCP musíte vybrat režim TLS With verification (viz nastavení konektoru typu tcp v nápovědě k platformě Kaspersky Unified Monitoring and Analysis Platform).
  - Používat ověřování na obou stranách. Ověřování na obou stranách při navazování zabezpečeného připojení mezi aplikací Kaspersky Endpoint Security a součástí KUMA. Chcete-li použít ověřování na obou stranách, musíte v konzole KUMA v nastavení konektoru tcp vybrat režim TLS Custom PFX (viz nastavení konektoru typu tcp v nápovědě k platformě Kaspersky Unified Monitoring and Analysis Platform). Poté musíte získat kryptokontejner a nastavit heslo pro ochranu kryptokontejneru. Kryptokontejner je PFX archiv s certifikátem a soukromým klíčem. Po konfiguraci nastavení součásti KUMA musíte také povolit obousměrné ověřování v nastavení aplikace Kaspersky Endpoint Security a načíst šifrovací kontejner chráněný heslem.
    Kryptokontejner musí být chráněn heslem. Není možné přidat kryptokontejner s prázdným heslem.
10. Klikněte na tlačítko OK.
11. V případě potřeby nakonfigurujte nastavení Maximální prodleva přenosu událostí (sek.) v bloku Nastavení přenosu dat. Když zadaný čas vyprší, Kaspersky Endpoint Security se pokusí připojit ke stejnému serveru nebo se připojí k dalšímu serveru v seznamu, pokud existuje více serverů. Výchozí hodnota je 30 sekund.
12. Uložte změny.
Jak připojit počítač Kaspersky Endpoint Security k součásti KUMA pomocí webové konzoly
1. V hlavním okně webové konzoly vyberte možnosti Devices → Policies & profiles.
2. Klikněte na název zásad aplikace Kaspersky Endpoint Security.
  Otevře se okno vlastností zásad.
3. Vyberte kartu Application settings.
4. Přejděte do části KUMA Integration.
5. Zapněte přepínač Povolit integraci KUMA.
6. Vyberte protokol pro připojení k serverům KUMA: TCP, UDP.
7. Přidejte servery KUMA. Chcete-li to provést, zadejte adresu serveru (IPv4, IPv6) a port pro připojení k serveru.
  Aplikace Kaspersky Endpoint Security se připojí k prvnímu serveru KUMA v seznamu. Pokud se připojení nezdaří, aplikace Kaspersky Endpoint Security se připojí k druhému serveru KUMA v seznamu a tak dále.
8. Pro TCP můžete nakonfigurovat důvěryhodné připojení. To provedete tak, že kliknete na tlačítko Settings for connecting to KUMA servers.
9. Nakonfigurujte připojení k serveru:
  - Timeout. Maximální časový limit odpovědi serveru KUMA. Když časový limit vyprší, Kaspersky Endpoint Security se pokusí připojit k jinému serveru KUMA.
  - Server TLS certificate. Certifikát TLS pro navázání důvěryhodného spojení se serverem KUMA.
    Chcete-li vytvořit důvěryhodné připojení, v konzole KUMA v nastavení konektoru TCP musíte vybrat režim TLS With verification (viz nastavení konektoru typu tcp v nápovědě k platformě Kaspersky Unified Monitoring and Analysis Platform).
  - Use two-way authentication. Ověřování na obou stranách při navazování zabezpečeného připojení mezi aplikací Kaspersky Endpoint Security a součástí KUMA. Chcete-li použít ověřování na obou stranách, musíte v konzole KUMA v nastavení konektoru tcp vybrat režim TLS Custom PFX (viz nastavení konektoru typu tcp v nápovědě k platformě Kaspersky Unified Monitoring and Analysis Platform). Poté musíte získat kryptokontejner a nastavit heslo pro ochranu kryptokontejneru. Kryptokontejner je PFX archiv s certifikátem a soukromým klíčem. Po konfiguraci nastavení součásti KUMA musíte také povolit obousměrné ověřování v nastavení aplikace Kaspersky Endpoint Security a načíst šifrovací kontejner chráněný heslem.
    Kryptokontejner musí být chráněn heslem. Není možné přidat kryptokontejner s prázdným heslem.
10. Klikněte na tlačítko OK.
11. V případě potřeby nakonfigurujte nastavení Maximum events transmission delay (sec) v bloku Data transmission settings. Když zadaný čas vyprší, Kaspersky Endpoint Security se pokusí připojit ke stejnému serveru nebo se připojí k dalšímu serveru v seznamu, pokud existuje více serverů. Výchozí hodnota je 30 sekund.
12. Uložte změny.

Počítač je tak přidán do konzoly KUMA. Provozní stav součásti zkontrolujete zobrazením Application components status report. Provozní stav součásti můžete také zobrazit ve zprávách v místním rozhraní aplikace Kaspersky Endpoint Security. Součást Integrace KUMA bude přidána do seznamu součástí aplikace Kaspersky Endpoint Security.

Začátek stránky