Kaspersky Unified Monitoring and Analysis Platform (KUMA)
Kaspersky Endpoint Security voor Windows ondersteunt de Kaspersky Unified Monitoring and Analysis Platform-oplossing. Kaspersky Unified Monitoring and Analysis Platform (KUMA) is een security information and event management (SIEM) oplossing voor de IT-infrastructuur van organisaties. Met KUMA kunnen beveiligingsbedreigingen worden gedetecteerd, geanalyseerd en beperkt voordat ze schade kunnen veroorzaken.
Het programma Kaspersky Endpoint Security wordt op individuele computers op de IT-infrastructuur van het bedrijf geïnstalleerd en bewaakt continu processen, open netwerkverbindingen en bestanden die worden gewijzigd. Informatie over gebeurtenissen op de computer (telemetriegegevens) wordt verzonden naar de Kaspersky Unified Monitoring and Analysis Platform (KUMA)-server. Kaspersky Endpoint Security verzendt ook informatie naar de KUMA-server over dreigingen gevonden door het programma, evenals informatie over verwerkingsresultaten voor deze dreigingen. In de console geeft KUMA gebeurtenissen weer als een lijst zonder opmaak, vergelijkbaar met het Windows-gebeurtenislogboek. Om toegang te krijgen tot alle KUMA-functionaliteit, moet u een licentie kopen en de oplossing implementeren in overeenstemming met de KUMA Beheerdersgids.
Integratie met KUMA
Voor het gebruik van KUMA moet aan de volgende voorwaarden worden voldaan:
Kaspersky Security Center versie 14.2 of hoger. In eerdere versies van Kaspersky Security Center is het onmogelijk om de KUMA-functionaliteit te activeren.
Het programma is geactiveerd en de functionaliteit valt onder de licentie.
Het onderdeel KUMA-integratie wordt ingeschakeld.
Programmaonderdelen die Kaspersky Unified Monitoring and Analysis Platform-ondersteuning bieden, zijn ingeschakeld en actief. De volgende onderdelen zorgen voor de werking van KUMA:
U moet uw computer opnieuw opstarten om de upgrade van het programma met het nieuwe onderdeel te voltooien.
KUMA-activering
U moet een licentie kopen die het XDR-telemetrie licentieobject bevat.
De functionaliteit komt beschikbaar na het toevoegen van de afzonderlijke KUMA-sleutel. Als resultaat worden er twee sleutels op de computer toegevoegd: een sleutel voor Kaspersky Endpoint Security en een sleutel voor Kaspersky Unified Monitoring and Analysis Platform (KUMA).
Om de computer met de Kaspersky Endpoint Security-programma te verbinden met de KUMA-oplossing:
Voeg in het Kaspersky Endpoint Security-beleid KUMA-serveradressen toe en geef de netwerkinstellingen van de verbinding op.
Voeg in de KUMA-console een collector toe met connectoren van het type tcp of udp en geef de basisnetwerkinstellingen van de verbinding op. Raadpleeg de Help van Kaspersky Unified Monitoring and Analysis Platform voor meer informatie over het beheren van verzamelprogramma's.
U kunt een vertrouwde verbinding tot stand brengen tussen Kaspersky Endpoint Security en KUMA-servers. Gebruik een TLS-certificaat om een vertrouwde verbinding te configureren. U kunt een TLS-certificaat krijgen op de KUMA Core-server (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform). Vervolgens moet u het TLS-certificaat toevoegen aan Kaspersky Endpoint Security (zie onderstaande instructies).
Om de verbinding veiliger te maken, kunt u bovendien de verificatie van de computer op KUMA (twee-weg verificatie) inschakelen. Als u deze verificatie wilt inschakelen, moet u twee-weg verificatie inschakelen in de instellingen KUMA en Kaspersky Endpoint Security. Om twee-weg verificatie te gebruiken hebt u ook een crypto-container nodig. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U moet een certificaat genereren met de persoonlijke sleutel in de containerformaat PKCS#12 bij een externe certificeringsinstantie. Vervolgens moet u het PFX-archief toevoegen in de KUMA-console en in Kaspersky Endpoint Security (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform).
Open de Beheerconsole van Kaspersky Security Center.
Selecteer in de beheerconsole Policies.
Selecteer het noodzakelijke beleid en dubbelklik om de beleidseigenschappen te openen.
Selecteer in het beleidsvenster KUMA-integratie.
Selecteer het selectievakje KUMA-integratie.
Selecteer het protocol om verbinding te maken met KUMA-servers: TCP, UDP.
Voeg KUMA-servers toe. Hiertoe geeft u het serveradres (IPv4, IPv6) en de poort op om verbinding te maken met de server.
Kaspersky Endpoint Security maakt verbinding met de eerste KUMA-server in de lijst. Als de verbinding mislukt, maakt Kaspersky Endpoint Security verbinding met de tweede KUMA-server in de lijst, enzovoort.
Voor TCP kunt u een vertrouwde verbinding configureren. Klik hiertoe op de knop Instellingen om met KUMA-servers te verbinden.
Configureer de serververbinding:
Time-out. Maximale time-out voor de serverrespons van KUMA. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere KUMA-server.
Server TLS certificaat. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de KUMA-server.
Om een vertrouwde verbinding tot stand te brengen, moet u in de KUMA-console, in de instellingen van de tcp-connector, de With verification TLS-modus (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform).
Gebruik twee-weg verificatie. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en KUMA. Om tweerichtingsverificatie te gebruiken, moet u in de KUMA-console, in de instellingen van de tcp-connector, de Custom PFX TLS-modus (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform). Dan moet u een cryptocontainer aanschaffen en een wachtwoord instellen om de cryptocontainer te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. Na het configureren van de KUMA-instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.
De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord.
Klik op OK.
Configureer indien nodig de instelling Maximale gebeurtenisoverdracht vertraging (sec) in het blok Data overdracht instellingen. Wanneer de opgegeven tijd om is, probeert Kaspersky Endpoint Security verbinding te maken met dezelfde server of maakt verbinding met de volgende server in de lijst als er meerdere servers zijn. De standaardinstelling is 30 seconden.
Selecteer in het hoofdvenster van de webconsole achtereenvolgens Devices → Policies & profiles.
Klik op de naam van het Kaspersky Endpoint Security-beleid.
U ziet nu het venster met de beleidseigenschappen.
Selecteer het tabblad Application settings.
Ga naar het gedeelte KUMA Integration.
Zet de schakelaar KUMA-integratie inschakelen aan.
Selecteer het protocol om verbinding te maken met KUMA-servers: TCP, UDP.
Voeg KUMA-servers toe. Hiertoe geeft u het serveradres (IPv4, IPv6) en de poort op om verbinding te maken met de server.
Kaspersky Endpoint Security maakt verbinding met de eerste KUMA-server in de lijst. Als de verbinding mislukt, maakt Kaspersky Endpoint Security verbinding met de tweede KUMA-server in de lijst, enzovoort.
Voor TCP kunt u een vertrouwde verbinding configureren. Klik hiertoe op de knop Settings for connecting to KUMA servers.
Configureer de serververbinding:
Timeout. Maximale time-out voor de serverrespons van KUMA. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere KUMA-server.
Server TLS certificate. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de KUMA-server.
Om een vertrouwde verbinding tot stand te brengen, moet u in de KUMA-console, in de instellingen van de tcp-connector, de With verification TLS-modus (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform).
Use two-way authentication. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en KUMA. Om tweerichtingsverificatie te gebruiken, moet u in de KUMA-console, in de instellingen van de tcp-connector, de Custom PFX TLS-modus (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform). Dan moet u een cryptocontainer aanschaffen en een wachtwoord instellen om de cryptocontainer te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. Na het configureren van de KUMA-instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.
De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord.
Klik op OK.
Configureer indien nodig de instelling Maximum events transmission delay (sec) in het blok Data transmission settings. Wanneer de opgegeven tijd om is, probeert Kaspersky Endpoint Security verbinding te maken met dezelfde server of maakt verbinding met de volgende server in de lijst als er meerdere servers zijn. De standaardinstelling is 30 seconden.
Sla uw wijzigingen op.
Als gevolg hiervan wordt de computer toegevoegd aan de KUMA-console. Controleer de werkingsstatus van het onderdeel door het Application components status report te bekijken. U kunt de werkingsstatus van een onderdeel ook in rapporten bekijken in de lokale interface van Kaspersky Endpoint Security. Het onderdeel KUMA-integratie wordt toegevoegd aan de lijst met Kaspersky Endpoint Security-onderdelen.
