Kaspersky Unified Monitoring and Analysis Platform (KUMA)
Kaspersky Endpoint Security for Windows prend en charge la solution Kaspersky Unified Monitoring and Analysis Platform. Kaspersky Unified Monitoring and Analysis Platform (KUMA) est une solution de gestion de la sécurité des informations et des événements (SIEM) pour l'infrastructure informatique des organisations. KUMA permet de détecter, d'analyser et d'atténuer les menaces à la sécurité avant qu'elles ne causent des dommages.
Kaspersky Endpoint Security est installé sur chaque ordinateur de l'infrastructure informatique de l'entreprise et surveille en permanence les processus, les connexions réseau ouvertes ainsi que les fichiers en cours de modification. Les informations relatives aux événements survenus sur l'ordinateur (télémétrie) sont envoyées au serveur Kaspersky Unified Monitoring and Analysis Platform (KUMA). Kaspersky Endpoint Security envoie également au serveur KUMA des informations relatives aux menaces découvertes par l'application ainsi que des informations relatives aux résultats du traitement de ces menaces. Dans sa console, KUMA affiche les événements sous la forme d'une liste sans annotation, semblable au journal des événements Windows. Pour accéder à toutes les fonctionnalités de KUMA, vous devez acheter une licence et déployer la solution conformément aux Manuel de l'administrateur KUMA.
Intégration avec KUMA
Pour utiliser KUMA, les conditions suivantes doivent être remplies :
Kaspersky Security Center version 14.2 ou toute version ultérieure. Dans les versions antérieures de Kaspersky Security Center, il est impossible d'activer la fonction d'intégration KUMA.
L'application est activée, et la fonctionnalité est couverte par la licence.
Le module d'intégration KUMA est activé.
Les modules de l'application qui prennent en charge Kaspersky Unified Monitoring and Analysis Platform sont activés et fonctionnent. Les modules suivants assurent le fonctionnement de KUMA :
Vous devez redémarrer votre ordinateur pour terminer la mise à niveau de l'application avec le nouveau module.
Activation KUMA
Vous devez acheter une licence qui inclut l'objet licence de télémétrie XDR.
Cette fonctionnalité n'est disponible qu'après l'ajout de la clé KUMA séparée. Par conséquent, deux clés sont ajoutées à l'ordinateur : une clé pour Kaspersky Endpoint Security et une clé pour Kaspersky Unified Monitoring and Analysis Platform (KUMA).
Pour connecter l'ordinateur doté de l'application Kaspersky Endpoint Security à la solution KUMA, procédez comme suit :
Dans la stratégie de Kaspersky Endpoint Security, ajoutez les adresses des serveurs KUMA et définissez les paramètres réseau de la connexion.
Dans la console KUMA, ajoutez un collecteur avec des connecteurs de type tcp ou udp et définissez les paramètres réseau de base de la connexion. Pour en savoir plus sur la gestion des collecteurs, consultez l'aide de Kaspersky Unified Monitoring and Analysis Platform.
Vous pouvez établir une connexion de confiance entre les serveurs Kaspersky Endpoint Security et KUMA. Pour configurer une connexion sécurisée, vous devez utiliser un certificat TLS. Vous pouvez obtenir un certificat TLS sur le serveur KUMA Core (voir les paramètres du connecteur de type tcp dans l'aide de Kaspersky Unified Monitoring and Analysis Platform). Ensuite, vous devez ajouter le certificat TLS à Kaspersky Endpoint Security (voir les instructions ci-dessous).
Pour rendre la connexion plus sécurisée, vous pouvez en outre activer la vérification de l'ordinateur dans KUMA (authentification bidirectionnelle). Pour activer cette vérification, vous devez activer l'authentification bidirectionnelle dans les paramètres de KUMA et de Kaspersky Endpoint Security. Pour utiliser l'authentification bidirectionnelle, vous aurez également besoin d'un conteneur crypto. Un conteneur crypto est une archive PFX contenant un certificat et une clé privée. Vous devez générer un certificat avec la clé privée au format de conteneur PKCS#12 dans une autorité de certification externe. Ensuite, il faut ajouter l'archive PFX dans la console KUMA et dans Kaspersky Endpoint Security (voir les paramètres du connecteur de type tcp dans l'aide de Kaspersky Unified Monitoring and Analysis Platform).
Ouvrez la Console d'administration de Kaspersky Security Center.
Dans l'arborescence de la console, sélectionnez Stratégies.
Sélectionnez la stratégie requise et ouvrez les propriétés de la stratégie d'un double-clic.
Dans la fenêtre de la stratégie, sélectionnez Intégration KUMA.
Cochez la case Intégration KUMA.
Sélectionnez le protocole de connexion aux serveurs KUMA : TCP ou UDP.
Ajoutez des serveurs KUMA. Pour ce faire, indiquez l'adresse du serveur (IPv4, IPv6) et le port de connexion au serveur.
Kaspersky Endpoint Security se connecte au premier serveur KUMA de la liste. En cas d'échec de la connexion, Kaspersky Endpoint Security se connecte au deuxième serveur KUMA de la liste et ainsi de suite.
Dans le cas du protocole TCP, vous pouvez configurer une connexion de confiance. Pour ce faire, cliquez sur le bouton Paramètres de connexion aux serveurs KUMA.
Configurez la connexion au serveur :
Délai d'attente. Délai maximal de réponse du serveur KUMA. À l'expiration du délai, Kaspersky Endpoint Security essaie de se connecter à un autre serveur KUMA.
Certificat TLS du serveur. Certificat TLS permettant d'établir une connexion sécurisée avec le serveur KUMA.
Utiliser l'authentification bidirectionnelle. Authentification bidirectionnelle lors de l'établissement d'une connexion sécurisée entre Kaspersky Endpoint Security et KUMA. Pour utiliser l'authentification bidirectionnelle, dans la console KUMA, dans les paramètres du connecteur tcp, vous devez sélectionner le Custom PFX mode TLS (cf. aide de Kaspersky Unified Monitoring and Analysis Platform). Ensuite, vous devez obtenir un cryptoconteneur et définir un mot de passe pour le protéger. Un conteneur crypto est une archive PFX contenant un certificat et une clé privée. Après avoir configuré les paramètres KUMA, vous devez également activer l'authentification bidirectionnelle dans les paramètres de Kaspersky Endpoint Security et charger un cryptoconteneur protégé par mot de passe.
Le conteneur crypto doit être protégé par un mot de passe. Il n'est pas possible d'ajouter de conteneur crypto avec un mot de passe vide.
Cliquez sur OK.
Si nécessaire, configurez le paramètre Délai maximal de transmission des événements (s.) dans le groupe Paramètres de transmission des données. Lorsque le délai spécifié est écoulé, Kaspersky Endpoint Security tente de se connecter au même serveur ou se connecte au serveur suivant dans la liste s'il y a plusieurs serveurs. Le paramètre par défaut est de 30 secondes.
Dans la fenêtre principale de Web Console, sélectionnez Appareils → Stratégies et profils.
Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
La fenêtre des propriétés de la stratégie s'ouvre.
Sélectionnez l'onglet Paramètres des applications.
Passez à la section Intégration KUMA.
Activez le commutateur Activer l'Intégration KUMA.
Sélectionnez le protocole de connexion aux serveurs KUMA : TCP ou UDP.
Ajoutez des serveurs KUMA. Pour ce faire, indiquez l'adresse du serveur (IPv4, IPv6) et le port de connexion au serveur.
Kaspersky Endpoint Security se connecte au premier serveur KUMA de la liste. En cas d'échec de la connexion, Kaspersky Endpoint Security se connecte au deuxième serveur KUMA de la liste et ainsi de suite.
Dans le cas du protocole TCP, vous pouvez configurer une connexion de confiance. Pour ce faire, cliquez sur le bouton Paramètres de connexion aux serveurs KUMA.
Configurez la connexion au serveur :
Délai d'attente. Délai maximal de réponse du serveur KUMA. À l'expiration du délai, Kaspersky Endpoint Security essaie de se connecter à un autre serveur KUMA.
Certificat TLS du serveur. Certificat TLS permettant d'établir une connexion sécurisée avec le serveur KUMA.
Utiliser l'authentification bidirectionnelle. Authentification bidirectionnelle lors de l'établissement d'une connexion sécurisée entre Kaspersky Endpoint Security et KUMA. Pour utiliser l'authentification bidirectionnelle, dans la console KUMA, dans les paramètres du connecteur tcp, vous devez sélectionner le Custom PFX mode TLS (cf. aide de Kaspersky Unified Monitoring and Analysis Platform). Ensuite, vous devez obtenir un cryptoconteneur et définir un mot de passe pour le protéger. Un conteneur crypto est une archive PFX contenant un certificat et une clé privée. Après avoir configuré les paramètres KUMA, vous devez également activer l'authentification bidirectionnelle dans les paramètres de Kaspersky Endpoint Security et charger un cryptoconteneur protégé par mot de passe.
Le conteneur crypto doit être protégé par un mot de passe. Il n'est pas possible d'ajouter de conteneur crypto avec un mot de passe vide.
Cliquez sur OK.
Si nécessaire, configurez le paramètre Délai maximal de transmission des événements (s.) dans le groupe Paramètres de transmission des données. Lorsque le délai spécifié est écoulé, Kaspersky Endpoint Security tente de se connecter au même serveur ou se connecte au serveur suivant dans la liste s'il y a plusieurs serveurs. Le paramètre par défaut est de 30 secondes.
Enregistrez vos modifications.
Par conséquent, l'ordinateur est ajouté à la console KUMA. Vérifiez l'état de fonctionnement du module en consultant le rapport sur l'état des modules de l'application. Vous pouvez également consulter l'état de fonctionnement d'un module dans les rapports de l'interface locale de Kaspersky Endpoint Security. Le module Intégration KUMA sera ajouté à la liste des modules de Kaspersky Endpoint Security.
