Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Kaspersky Endpoint Security for Windows가 Kaspersky Unified Monitoring and Analysis Platform 솔루션을 지원합니다. Kaspersky Unified Monitoring and Analysis Platform(KUMA)은 조직의 IT 인프라를 위한 보안 정보 및 이벤트 관리(SIEM) 솔루션입니다. KUMA를 사용하면 보안 위협을 피해가 발생하기 전에 탐지, 분석 및 완화할 수 있습니다.

Kaspersky Endpoint Security는 기업 IT 인프라의 개별 컴퓨터에 설치되며 프로세스, 개방형 네트워크 연결 및 수정되는 파일을 계속해서 모니터링합니다. 컴퓨터의 이벤트에 대한 정보(원격 측정)는 Kaspersky Unified Monitoring and Analysis Platform(KUMA) 서버로 전송됩니다. KUMA는 콘솔에서 Windows 이벤트 로그와 마찬가지로 이벤트를 마크업 없이 목록으로 표시합니다. KUMA의 모든 기능에 접근하려면 라이센스를 구매하고 KUMA 관리자 가이드에 따라 솔루션을 배포해야 합니다.

KUMA과 통합

KUMA를 사용하려면 다음 조건을 충족해야 합니다.

Kaspersky Security Center 버전 14.2 이상. 이전 버전의 Kaspersky Security Center에서는 KUMA 통합의 기능을 활성화할 수 없습니다.
애플리케이션이 활성화되고 해당 기능에 라이센스가 적용됩니다.
KUMA 통합 구성 요소가 활성화됩니다.

KUMA 통합 설정에는 다음 단계가 포함됩니다.

KUMA 통합 구성 요소 설치
애플리케이션을 설치 또는 업그레이드할 때 또는 애플리케이션 구성 요소 변경 작업을 사용할 때 KUMA 통합 구성 요소를 선택할 수 있습니다.

새 구성 요소로 애플리케이션 업그레이드를 완료하려면 컴퓨터를 다시 시작해야 합니다.
KUMA 활성화
Kaspersky Endpoint Security를 KUMA(Kaspersky Endpoint Security for Windows KUMA 통합 애드온)와 통합하려면 별도의 라이센스가 필요합니다.

이 기능은 별도의 KUMA 키를 추가해야 사용할 수 있습니다. 결과적으로 컴퓨터에 KUMA와 Kaspersky Endpoint Security 통합을 위한 다른 활성 키가 생성됩니다.

독립 실행형 KUMA 기능의 라이센스 사용은 Kaspersky Endpoint Security의 라이센스 사용과 같습니다.

KUMA 기능이 라이센스에 포함되며 애플리케이션의 로컬 인터페이스에서 실행되고 있는지 확인하십시오.
KUMA에 연결
Kaspersky Endpoint Security 애플리케이션이 있는 컴퓨터를 KUMA 솔루션에 연결하려면:
1. Kaspersky Endpoint Security 정책에서 KUMA 서버 주소를 추가하고 연결의 네트워크 설정을 지정합니다.
2. KUMA 콘솔에서 tcp 또는 udp 유형의 커넥터가 있는 수집기를 추가하고 연결의 기본 네트워크 설정을 지정합니다. 수집기 관리에 대한 자세한 내용은 Kaspersky Unified Monitoring and Analysis Platform 도움말을 참조하십시오.
Kaspersky Endpoint Security와 KUMA 서버 간에 신뢰할 수 있는 연결을 설정할 수 있습니다. 신뢰할 수 있는 연결을 구성하려면 TLS 인증서를 사용해야 합니다. KUMA Core 서버에서 TLS 인증서를 얻을 수 있습니다(Kaspersky Unified Monitoring and Analysis Platform 도움말에서 tcp 유형 커넥터 설정 참조). 그런 다음 Kaspersky Endpoint Security에 TLS 인증서를 추가해야 합니다(아래 지침 참조).

보다 안전한 연결을 위해, KUMA에서 컴퓨터 확인을 추가로 활성화할 수 있습니다(양방향 인증). 이 확인을 활성화하려면 KUMA와 Kaspersky Endpoint Security 설정에서 양방향 인증을 켜야 합니다. 양방향 인증을 사용하려면 암호화 컨테이너도 필요합니다. 암호화 컨테이너는 인증서와 개인 키가 있는 PFX 압축 파일입니다. 외부 인증 기관에서 PKCS#12 컨테이너 형식의 개인 키로 인증서를 생성해야 합니다. 그런 다음 KUMA 콘솔 및 Kaspersky Endpoint Security에서 PFX 압축 파일을 추가해야 합니다(Kaspersky Unified Monitoring and Analysis Platform 도움말에서 tcp 유형 커넥터 설정 참조).

관리 콘솔(MMC)을 사용하여 Kaspersky Endpoint Security 컴퓨터를 KUMA에 연결하는 방법
1. Kaspersky Security Center 관리 콘솔 창을 엽니다.
2. 콘솔 트리에서 정책을 선택합니다.
3. 필요한 정책을 선택하고 더블 클릭하여 정책 속성을 엽니다.
4. 정책 창에서 KUMA 통합을 선택합니다.
5. KUMA 통합 확인란을 선택합니다.
6. KUMA 서버에 연결하기 위한 프로토콜(TCP, UDP)을 선택합니다.
7. KUMA 서버를 추가합니다. 이렇게 하려면 서버 주소(IPv4, IPv6)와 서버에 연결할 포트를 지정하십시오.
  Kaspersky Endpoint Security가 목록에서 첫 번째 KUMA 서버에 연결합니다. 연결에 실패하면 Kaspersky Endpoint Security가 목록에서 두 번째 KUMA 서버에 연결하는 식으로 진행합니다.
8. TCP의 경우 신뢰할 수 있는 연결을 구성할 수 있습니다. 그러려면 KUMA 서버 연결 설정 버튼을 누릅니다.
9. 서버 연결 구성:
  - 시간 초과. 최대 KUMA 서버 응답 시간 초과. 제한 시간이 초과되면 Kaspersky Endpoint Security는 다른 KUMA 서버에 연결을 시도합니다.
  - 서버 TLS 인증서. KUMA 서버와의 신뢰할 수 있는 연결을 설정하기 위한 TLS 인증서입니다.
    신뢰할 수 있는 연결을 구성하려면 KUMA 콘솔의 tcp 커넥터 설정에서 With verification TLS 모드를 선택해야 합니다(Kaspersky Unified Monitoring and Analysis Platform 도움말에서 tcp 유형 커넥터 설정 참조).
  - 양방향 인증 사용. Kaspersky Endpoint Security와 KUMA 간에 보안 연결을 설정할 때 양방향 인증. 양방향 인증을 사용하려면 KUMA 콘솔의 tcp 커넥터 설정에서 Custom PFX TLS 모드를 선택해야 합니다(Kaspersky Unified Monitoring and Analysis Platform 도움말에서 tcp 유형 커넥터 설정 참조). 그런 다음 암호화 컨테이너를 가져오고 암호화 컨테이너를 보호하기 위한 암호를 설정해야 합니다. 암호화 컨테이너는 인증서와 개인 키가 있는 PFX 압축 파일입니다. KUMA 설정을 구성한 후 Kaspersky Endpoint Security 설정에서 양방향 인증도 활성화하고 암호가 걸려 있는 암호화 컨테이너도 로드해야 합니다.
    암호화 컨테이너는 암호로 보호되어야 합니다. 빈 암호로 암호화 컨테이너를 추가할 수 없습니다.
10. 확인을 누릅니다.
11. 필요한 경우 데이터 전송 설정에서 최대 이벤트 전송 지연(초) 설정을 구성합니다. 지정된 시간이 초과되면 Kaspersky Endpoint Security는 동일한 서버에 연결을 시도하거나, 서버가 여러 개일 경우 목록에 있는 다음 서버에 연결합니다. 기본 설정은 30초입니다.
12. 변경 사항을 저장합니다.
웹 콘솔을 사용하여 Kaspersky Endpoint Security 컴퓨터를 KUMA에 연결하는 방법
1. 웹 콘솔의 메인 창에서 기기 → 정책 및 프로필을 선택합니다.
2. Kaspersky Endpoint Security 정책 이름을 클릭합니다.
  정책 속성 창이 열립니다.
3. 애플리케이션 설정 탭을 선택합니다.
4. KUMA 통합 섹션으로 이동합니다.
5. KUMA 통합 활성화 토글을 켭니다.
6. KUMA 서버에 연결하기 위한 프로토콜(TCP, UDP)을 선택합니다.
7. KUMA 서버를 추가합니다. 이렇게 하려면 서버 주소(IPv4, IPv6)와 서버에 연결할 포트를 지정하십시오.
  Kaspersky Endpoint Security가 목록에서 첫 번째 KUMA 서버에 연결합니다. 연결에 실패하면 Kaspersky Endpoint Security가 목록에서 두 번째 KUMA 서버에 연결하는 식으로 진행합니다.
8. TCP의 경우 신뢰할 수 있는 연결을 구성할 수 있습니다. 그러려면 KUMA 서버 연결 설정 버튼을 누릅니다.
9. 서버 연결 구성:
  - 시간 초과. 최대 KUMA 서버 응답 시간 초과. 제한 시간이 초과되면 Kaspersky Endpoint Security는 다른 KUMA 서버에 연결을 시도합니다.
  - 서버 TLS 인증서. KUMA 서버와의 신뢰할 수 있는 연결을 설정하기 위한 TLS 인증서입니다.
    신뢰할 수 있는 연결을 구성하려면 KUMA 콘솔의 tcp 커넥터 설정에서 With verification TLS 모드를 선택해야 합니다(Kaspersky Unified Monitoring and Analysis Platform 도움말에서 tcp 유형 커넥터 설정 참조).
  - 양방향 인증 사용. Kaspersky Endpoint Security와 KUMA 간에 보안 연결을 설정할 때 양방향 인증. 양방향 인증을 사용하려면 KUMA 콘솔의 tcp 커넥터 설정에서 Custom PFX TLS 모드를 선택해야 합니다(Kaspersky Unified Monitoring and Analysis Platform 도움말에서 tcp 유형 커넥터 설정 참조). 그런 다음 암호화 컨테이너를 가져오고 암호화 컨테이너를 보호하기 위한 암호를 설정해야 합니다. 암호화 컨테이너는 인증서와 개인 키가 있는 PFX 압축 파일입니다. KUMA 설정을 구성한 후 Kaspersky Endpoint Security 설정에서 양방향 인증도 활성화하고 암호가 걸려 있는 암호화 컨테이너도 로드해야 합니다.
    암호화 컨테이너는 암호로 보호되어야 합니다. 빈 암호로 암호화 컨테이너를 추가할 수 없습니다.
10. 확인을 누릅니다.
11. 필요한 경우 데이터 전송 설정에서 최대 이벤트 전송 지연(초) 설정을 구성합니다. 지정된 시간이 초과되면 Kaspersky Endpoint Security는 동일한 서버에 연결을 시도하거나, 서버가 여러 개일 경우 목록에 있는 다음 서버에 연결합니다. 기본 설정은 30초입니다.
12. 변경 사항을 저장합니다.

KUMA 콘솔에서 Windows 이벤트 수신이 올바르게 구성되었는지 확인할 수 있습니다(자세한 내용은 Kaspersky 통합 모니터링 및 분석 플랫폼 도움말 참조). Kaspersky Security Center 콘솔에서 애플리케이션 구성 요소 상태 리포트를 확인하여 구성 요소의 작동 상태를 확인합니다. 또한 Kaspersky Endpoint Security의 로컬 인터페이스에 있는 리포트에서 구성 요소의 작동 상태를 볼 수 있습니다. KUMA 통합 구성 요소가 Kaspersky Endpoint Security 구성 요소 목록에 추가됩니다.

맨 위로