Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Kaspersky Endpoint Security for Windows supporta la soluzione Kaspersky Unified Monitoring and Analysis Platform. Kaspersky Unified Monitoring and Analysis Platform (KUMA) è una soluzione SIEM (Security Information and Event Management) per l'infrastruttura IT delle organizzazioni. KUMA consente di rilevare, analizzare e attenuare le minacce alla sicurezza prima che possano causare danni.

L'applicazione Kaspersky Endpoint Security viene installata nei singoli computer dell'infrastruttura IT aziendale e monitora continuamente i processi, le connessioni di rete aperte e i file modificati. Le informazioni sugli eventi nel computer (dati di telemetria) vengono inviate al server di Kaspersky Unified Monitoring and Analysis Platform (KUMA). Nella relativa console, KUMA mostra gli eventi come elenco senza commenti, in modo simile al registro eventi di Windows. Per accedere a tutte le funzionalità di KUMA, è necessario acquistare una licenza e distribuire la soluzione in conformità con la Guida dell'amministratore di KUMA.

Integrazione con KUMA

Per utilizzare KUMA, è necessario che le seguenti condizioni siano soddisfatte:

Kaspersky Security Center versione 14.2 o successiva. Nelle versioni precedenti di Kaspersky Security Center, non è possibile attivare la funzionalità di integrazione di KUMA.
L'applicazione è attivata e la funzionalità è coperta dalla licenza.
Il componente per l'integrazione di KUMA è abilitato.

La configurazione dell'integrazione di KUMA prevede i passaggi seguenti:

Installazione del componente per l'integrazione di KUMA
È possibile selezionare il componente per l'integrazione di KUMA durante l'installazione o l'upgrade dell'applicazione, oltre a utilizzare l'attività Modifica i componenti dell'applicazione.

È necessario riavviare il computer per completare l'aggiornamento dell'applicazione con il nuovo componente.
Attivazione KUMA
È necessaria una licenza separata per integrare Kaspersky Endpoint Security con KUMA (Componente aggiuntivo di integrazione KUMA di Kaspersky Endpoint Security for Windows).

La funzionalità diventa disponibile dopo l'aggiunta della chiave KUMA separata. Di conseguenza, nel computer sarà presente un'altra chiave attiva per l'integrazione di Kaspersky Endpoint Security con KUMA.

La licenza per la funzionalità KUMA autonoma è la stessa della licenza di Kaspersky Endpoint Security.

Verificare che la funzionalità KUMA sia inclusa nella licenza e che venga eseguita nell'interfaccia locale dell'applicazione.
Connessione a KUMA
Per connettere il computer con l'applicazione Kaspersky Endpoint Security alla soluzione KUMA:
1. Nel criterio di Kaspersky Endpoint Security, aggiungere gli indirizzi dei server di KUMA e specificare le impostazioni di rete della connessione.
2. Nella console KUMA, aggiungere un servizio di raccolta con connettori di tipo TCP o UDP e specificare le impostazioni di rete di base della connessione. Per informazioni dettagliate sulla gestione dei servizi di raccolta, fare riferimento alla Guida di Kaspersky Unified Monitoring and Analysis Platform.
È possibile stabilire una connessione attendibile tra Kaspersky Endpoint Security e i server di KUMA. Per configurare una connessione attendibile, è necessario utilizzare un certificato TLS. È possibile ottenere un certificato TLS nel server KUMA Core (vedere le impostazioni per il connettore di tipo TCP nella Guida di Kaspersky Unified Monitoring and Analysis Platform). Quindi è necessario aggiungere il certificato TLS a Kaspersky Endpoint Security (vedere le istruzioni di seguito).

Per rendere la connessione più sicura, è inoltre possibile abilitare la verifica del computer in KUMA (autenticazione a due vie). Per abilitare questa verifica, è necessario attivare l'autenticazione a due vie nelle impostazioni di KUMA e Kaspersky Endpoint Security. Per utilizzare l'autenticazione a due vie, è necessario anche un contenitore crittografico. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. È necessario generare un certificato con la chiave privata nel formato contenitore PKCS#12 in un'autorità di certificazione esterna. È quindi necessario aggiungere l'archivio PFX nella console KUMA e in Kaspersky Endpoint Security (vedere le impostazioni per il connettore di tipo TCP nella Guida di Kaspersky Unified Monitoring and Analysis Platform).

Come connettere un computer Kaspersky Endpoint Security a KUMA tramite Administration Console (MMC)
1. Aprire Kaspersky Security Center Administration Console.
2. Nella struttura della console, selezionare Criteri.
3. Selezionare il criterio necessario e fare doppio clic per aprire le proprietà del criterio.
4. Nella finestra del criterio, selezionare Integrazione KUMA.
5. Selezionare la casella di controllo Integrazione KUMA.
6. Selezionare il protocollo per la connessione ai server di KUMA: TCP, UDP.
7. Aggiungere i server di KUMA. A tale scopo, specificare l'indirizzo del server (IPv4, IPv6) e la porta per connettersi al server.
  Kaspersky Endpoint Security si connette al primo server di KUMA nell'elenco. Se la connessione ha esito negativo, Kaspersky Endpoint Security si connette al secondo server di KUMA nell'elenco e così via.
8. Per TCP, è possibile configurare una connessione attendibile. A tale scopo, fare clic sul pulsante Impostazioni per la connessione ai server KUMA.
9. Configurare la connessione al server:
  - Timeout. Timeout massimo di risposta del server di KUMA. Allo scadere del timeout, Kaspersky Endpoint Security tenta di connettersi a un altro server di KUMA.
  - Certificato TLS del server. Certificato TLS per stabilire una connessione attendibile con il server di KUMA.
    Per stabilire una connessione attendibile, nella console KUMA, nelle impostazioni del connettore TCP, è necessario selezionare l'estensione With verification Modalità TLS (vedere le impostazioni per il connettore di tipo TCP nella Guida di Kaspersky Unified Monitoring and Analysis Platform).
  - Usa autenticazione a due vie. Autenticazione a due vie quando si stabilisce una connessione sicura tra Kaspersky Endpoint Security e KUMA. Per utilizzare l'autenticazione a due vie, nella console KUMA, nelle impostazioni del connettore TCP, è necessario selezionare l'estensione Custom PFX Modalità TLS (vedere le impostazioni per il connettore di tipo TCP nella Guida di Kaspersky Unified Monitoring and Analysis Platform). Quindi è necessario ottenere un criptocontenitore e impostare una password per proteggere il criptocontenitore. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. Dopo aver configurato le impostazioni di KUMA, è necessario abilitare anche l'autenticazione a due vie nelle impostazioni di Kaspersky Endpoint Security e caricare un contenitore crittografico protetto da password.
    Il contenitore crittografico deve essere protetto tramite password. Non è possibile aggiungere un contenitore crittografico senza una password.
10. Fare clic su OK.
11. Se necessario, configurare l'impostazione Ritardo di trasmissione eventi massimo (sec) nel blocco Impostazioni trasmissione dati. Allo scadere del tempo specificato, Kaspersky Endpoint Security tenta di connettersi allo stesso server o si connette al server successivo nell'elenco se sono presenti più server. L'impostazione predefinita è 30 secondi.
12. Salvare le modifiche.
Come connettere un computer Kaspersky Endpoint Security a KUMA tramite Web Console
1. Nella finestra principale di Web Console, fare clic su Dispositivi → Criteri e profili.
2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.
  Verrà visualizzata la finestra delle proprietà del criterio.
3. Selezionare la scheda Impostazioni applicazione.
4. Passare alla sezione Integrazione KUMA.
5. Attivare l'interruttore Abilita integrazione KUMA.
6. Selezionare il protocollo per la connessione ai server di KUMA: TCP, UDP.
7. Aggiungere i server di KUMA. A tale scopo, specificare l'indirizzo del server (IPv4, IPv6) e la porta per connettersi al server.
  Kaspersky Endpoint Security si connette al primo server di KUMA nell'elenco. Se la connessione ha esito negativo, Kaspersky Endpoint Security si connette al secondo server di KUMA nell'elenco e così via.
8. Per TCP, è possibile configurare una connessione attendibile. A tale scopo, fare clic sul pulsante Impostazioni per la connessione ai server KUMA.
9. Configurare la connessione al server:
  - Timeout. Timeout massimo di risposta del server di KUMA. Allo scadere del timeout, Kaspersky Endpoint Security tenta di connettersi a un altro server di KUMA.
  - Certificato TLS del server. Certificato TLS per stabilire una connessione attendibile con il server di KUMA.
    Per stabilire una connessione attendibile, nella console KUMA, nelle impostazioni del connettore TCP, è necessario selezionare l'estensione With verification Modalità TLS (vedere le impostazioni per il connettore di tipo TCP nella Guida di Kaspersky Unified Monitoring and Analysis Platform).
  - Usa autenticazione a due vie. Autenticazione a due vie quando si stabilisce una connessione sicura tra Kaspersky Endpoint Security e KUMA. Per utilizzare l'autenticazione a due vie, nella console KUMA, nelle impostazioni del connettore TCP, è necessario selezionare l'estensione Custom PFX Modalità TLS (vedere le impostazioni per il connettore di tipo TCP nella Guida di Kaspersky Unified Monitoring and Analysis Platform). Quindi è necessario ottenere un criptocontenitore e impostare una password per proteggere il criptocontenitore. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. Dopo aver configurato le impostazioni di KUMA, è necessario abilitare anche l'autenticazione a due vie nelle impostazioni di Kaspersky Endpoint Security e caricare un contenitore crittografico protetto da password.
    Il contenitore crittografico deve essere protetto tramite password. Non è possibile aggiungere un contenitore crittografico senza una password.
10. Fare clic su OK.
11. Se necessario, configurare l'impostazione Ritardo di trasmissione eventi massimo (sec) nel blocco Impostazioni trasmissione dati. Allo scadere del tempo specificato, Kaspersky Endpoint Security tenta di connettersi allo stesso server o si connette al server successivo nell'elenco se sono presenti più server. L'impostazione predefinita è 30 secondi.
12. Salvare le modifiche.

È possibile verificare che la ricezione degli eventi di Windows sia configurata correttamente nella console KUMA (per informazioni dettagliate, vedere Guida di Kaspersky Unified Monitoring and Analysis Platform). Verificare lo stato operativo del componente visualizzando il Rapporto sullo stato dei componenti dell'applicazione nella console di Kaspersky Security Center. È inoltre possibile visualizzare lo stato operativo di un componente nei rapporti nell'interfaccia locale di Kaspersky Endpoint Security. Il componente Integrazione KUMA verrà aggiunto all'elenco dei componenti di Kaspersky Endpoint Security.

Inizio pagina