Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Kaspersky Endpoint Security für Windows unterstützt die Lösung Kaspersky Unified Monitoring and Analysis Platform. Kaspersky Unified Monitoring and Analysis Platform (KUMA) ist eine Lösung zur Verwaltung von Sicherheitsinformationen und Ereignissen (SIEM) für die IT-Infrastruktur von Unternehmen. KUMA ermöglicht es, Sicherheitsbedrohungen zu erkennen, zu analysieren und einzudämmen, bevor sie Schaden anrichten können.

Kaspersky Endpoint Security wird auf den einzelnen Computern einer IT-Unternehmensinfrastruktur installiert und überwacht kontinuierlich Prozesse, offene Netzwerkverbindungen und geänderte Dateien. Informationen über Ereignisse auf dem Computer (Telemetrie) werden an den Server für Kaspersky Unified Monitoring and Analysis Platform (KUMA) gesendet. In der KUMA-Konsole werden Ereignisse als Liste ohne Markierungen angezeigt, ähnlich wie im Windows-Ereignisprotokoll. Um auf alle KUMA-Funktionen zugreifen zu können, müssen Sie eine Lizenz erwerben und die Lösung gemäß dem KUMA-Administratorhandbuch bereitstellen.

Integration mit KUMA

Für die Verwendung von KUMA müssen folgende Bedingungen erfüllt sein:

Kaspersky Security Center Version 14.2 oder höher. In älteren Versionen von Kaspersky Security Center kann die KUMA-Integrationsfunktionalität nicht aktiviert werden.
Die Anwendung ist aktiviert und die Funktionalität ist durch die Lizenz abgedeckt.
Die KUMA-Integrationskomponente ist aktiviert.

Das Einrichten der KUMA-Integration umfasst die folgenden Schritte:

Installation der KUMA-Integrationskomponente
Sie können die KUMA-Integrationskomponente während der Installation oder beim Upgrade der App auswählen oder die Aufgabe Auswahl der Programmkomponenten ändern verwenden.

Sie müssen Ihren Computer neu starten, um das Upgrade der App mit der neuen Komponente abzuschließen.
KUMA-Aktivierung
Für die Integration von Kaspersky Endpoint Security in KUMA (Add-on für die Integration von Kaspersky Endpoint Security für Windows KUMA) benötigen Sie eine separate Lizenz.

Die Funktionalität ist verfügbar, nachdem der separate KUMA-Schlüssel hinzugefügt wurde. Danach befindet sich auf dem Computer ein weiterer aktiver Schlüssel für die Integration von Kaspersky Endpoint Security in KUMA.

Die Lizenzverwaltung für die eigenständige KUMA-Funktionalität entspricht der Lizenzverwaltung für Kaspersky Endpoint Security.

Stellen Sie sicher, dass die KUMA-Funktionalität in der Lizenz enthalten ist und dass sie auf der lokalen App-Oberfläche funktioniert.
Verbindung mit KUMA herstellen
So verbinden Sie den Computer, auf dem Kaspersky Endpoint Security installiert ist, mit der KUMA-Lösung:
1. Fügen Sie in der Kaspersky Endpoint Security-Richtlinie die Adressen des KUMA-Servers hinzu und geben Sie die Netzwerkeinstellungen der Verbindung an.
2. Fügen Sie in der KUMA-Konsole einen Kollektor mit TCP- oder UDP-Konnektoren hinzu und geben Sie die grundlegenden Netzwerkeinstellungen der Verbindung an. Details zur Verwaltung von Kollektoren finden Sie in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform.
Sie können eine vertrauenswürdige Verbindung zwischen Kaspersky Endpoint Security und den KUMA-Servern herstellen. Zur Konfiguration einer vertrauenswürdigen Verbindung müssen Sie ein TLS-Zertifikat verwenden. Ein TLS-Zertifikat können Sie auf dem KUMA-Core-Server anfordern (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform). Anschließend müssen Sie das TLS-Zertifikat zu Kaspersky Endpoint Security hinzufügen (siehe Anleitung unten).

Um die Verbindung sicherer zu machen, können Sie zusätzlich die Überprüfung des Computers in KUMA (Zwei-Wege-Authentifizierung) aktivieren. Zum Aktivieren dieser Überprüfung müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von KUMA und Kaspersky Endpoint Security aktivieren. Zur Verwendung der Zwei-Wege-Authentifizierung benötigen Sie außerdem einen Krypto-Container. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Sie müssen ein Zertifikat mit dem privaten Schlüssel im Containerformat PKCS#12 bei einer externen Zertifizierungsstelle generieren. Anschließend müssen Sie das PFX-Archiv in der KUMA-Konsole und in Kaspersky Endpoint Security hinzufügen (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform).

So verbinden Sie einen Computer, auf dem Kaspersky Endpoint Security installiert ist, über die Verwaltungskonsole (MMC) mit KUMA
1. Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
2. Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
3. Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
4. Wählen Sie im Richtlinienfenster den Punkt KUMA-Integration aus.
5. Aktivieren Sie das Kontrollkästchen KUMA-Integration.
6. Wählen Sie das Protokoll für die Verbindung mit den KUMA-Servern aus: TCP, UDP.
7. Fügen Sie KUMA-Server hinzu. Geben Sie dazu die Serveradresse (IPv4, IPv6) und den Port für die Serververbindung an.
  Kaspersky Endpoint Security verbindet sich mit dem ersten KUMA-Server in der Liste. Wenn die Verbindung fehlschlägt, verbindet sich Kaspersky Endpoint Security mit dem zweiten KUMA-Server in der Liste und so weiter.
8. Für TCP können Sie eine vertrauenswürdige Verbindung konfigurieren. Klicken Sie dazu auf Einstellungen der Verbindung zu KUMA-Servern.
9. Konfigurieren Sie die Serververbindung:
  - Timeout. Maximales Timeout für die Antwort des KUMA-Servers. Nach Ablauf des Timeouts versucht Kaspersky Endpoint Security, sich mit einem anderen KUMA-Server zu verbinden.
  - TLS-Zertifikat des Servers. TLS-Zertifikat zum Herstellen einer vertrauenswürdigen Verbindung mit dem KUMA-Server.
    Um eine vertrauenswürdige Verbindung herzustellen, müssen Sie in der KUMA-Konsole in den TCP-Konnektor-Einstellungen den TLS-Modus With verification auswählen (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform).
  - Zwei-Wege-Authentifizierung verwenden. Zwei-Wege-Authentifizierung beim Aufbau einer sicheren Verbindung zwischen Kaspersky Endpoint Security und KUMA. Um die Zwei-Wege-Authentifizierung zu verwenden, müssen Sie in der KUMA-Konsole in den TCP-Konnektor-Einstellungen den TLS-Modus Custom PFX auswählen (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform). Dann müssen Sie einen Krypto-Container anfordern und ein Kennwort festlegen, um den Krypto-Container zu schützen. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Nachdem Sie die KUMA-Einstellungen konfiguriert haben, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von Kaspersky Endpoint Security aktivieren und einen kennwortgeschützten Krypto-Container laden.
    Der Krypto-Container muss kennwortgeschützt sein. Ein Krypto-Container mit einem leeren Passwort kann nicht hinzugefügt werden.
10. Klicken Sie auf OK.
11. Konfigurieren Sie, sofern erforderlich, die Einstellung Maximale Verzögerung der Ereignisübertragung (Sek.) im Block Einstellungen für die Datenübertragung. Wenn die festgelegte Dauer abgelaufen ist, versucht Kaspersky Endpoint Security, eine Verbindung mit demselben Server herzustellen, oder stellt eine Verbindung mit dem nächsten Server in der Liste her, falls es mehrere Server gibt. Der Standardwert ist 30 Sekunden.
12. Speichern Sie die vorgenommenen Änderungen.
So verbinden Sie einen Computer, auf dem Kaspersky Endpoint Security installiert ist, über die Web Console mit KUMA
1. Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
2. Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
  Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
3. Wählen Sie die Registerkarte Programmeinstellungen aus.
4. Wechseln Sie zum Abschnitt KUMA-Integration.
5. Aktivieren Sie den Schalter KUMA-Integration aktivieren.
6. Wählen Sie das Protokoll für die Verbindung mit den KUMA-Servern aus: TCP, UDP.
7. Fügen Sie KUMA-Server hinzu. Geben Sie dazu die Serveradresse (IPv4, IPv6) und den Port für die Serververbindung an.
  Kaspersky Endpoint Security verbindet sich mit dem ersten KUMA-Server in der Liste. Wenn die Verbindung fehlschlägt, verbindet sich Kaspersky Endpoint Security mit dem zweiten KUMA-Server in der Liste und so weiter.
8. Für TCP können Sie eine vertrauenswürdige Verbindung konfigurieren. Klicken Sie dazu auf Einstellungen der Verbindung zu KUMA-Servern.
9. Konfigurieren Sie die Serververbindung:
  - Timeout. Maximales Timeout für die Antwort des KUMA-Servers. Nach Ablauf des Timeouts versucht Kaspersky Endpoint Security, sich mit einem anderen KUMA-Server zu verbinden.
  - TLS-Serverzertifikat. TLS-Zertifikat zum Herstellen einer vertrauenswürdigen Verbindung mit dem KUMA-Server.
    Um eine vertrauenswürdige Verbindung herzustellen, müssen Sie in der KUMA-Konsole in den TCP-Konnektor-Einstellungen den TLS-Modus With verification auswählen (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform).
  - Zwei-Wege-Authentifizierung verwenden. Zwei-Wege-Authentifizierung beim Aufbau einer sicheren Verbindung zwischen Kaspersky Endpoint Security und KUMA. Um die Zwei-Wege-Authentifizierung zu verwenden, müssen Sie in der KUMA-Konsole in den TCP-Konnektor-Einstellungen den TLS-Modus Custom PFX auswählen (siehe Einstellungen für den TCP-Konnektor in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform). Dann müssen Sie einen Krypto-Container anfordern und ein Kennwort festlegen, um den Krypto-Container zu schützen. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Nachdem Sie die KUMA-Einstellungen konfiguriert haben, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von Kaspersky Endpoint Security aktivieren und einen kennwortgeschützten Krypto-Container laden.
    Der Krypto-Container muss kennwortgeschützt sein. Ein Krypto-Container mit einem leeren Passwort kann nicht hinzugefügt werden.
10. Klicken Sie auf OK.
11. Konfigurieren Sie, sofern erforderlich, die Einstellung Maximale Verzögerung der Ereignisübertragung (Sek.) im Block Einstellungen für die Datenübertragung. Wenn die festgelegte Dauer abgelaufen ist, versucht Kaspersky Endpoint Security, eine Verbindung mit demselben Server herzustellen, oder stellt eine Verbindung mit dem nächsten Server in der Liste her, falls es mehrere Server gibt. Der Standardwert ist 30 Sekunden.
12. Speichern Sie die vorgenommenen Änderungen.

Sie können überprüfen, ob der Empfang von Windows-Ereignissen in der KUMA-Konsole richtig konfiguriert ist (Details finden Sie in der Hilfe zu Kaspersky Unified Monitoring and Analysis Platform). Überprüfen Sie den Betriebsstatus der Komponente, indem Sie sich den Bericht über den Status der Programmkomponenten in der Kaspersky Security Center-Konsole ansehen. Den Betriebsstatus einer Komponente können Sie auch den Berichten in der lokalen Benutzeroberfläche von Kaspersky Endpoint Security entnehmen. Die Komponente KUMA-Integration wir zur Liste der Kaspersky Endpoint Security-Komponenten hinzugefügt.

Nach oben