Kaspersky Unified Monitoring and Analysis Platform (KUMA)
O Kaspersky Endpoint Security for Windows é compatível com a solução Kaspersky Unified Monitoring and Analysis Platform. A Kaspersky Unified Monitoring and Analysis Platform (KUMA) é uma solução de gerenciamento de eventos e informações de segurança (SIEM) para a infraestrutura de TI das organizações. O KUMA permite detectar, analisar e mitigar as ameaças de segurança antes que elas possam causar danos.
O Kaspersky Endpoint Security é instalado em computadores individuais na infraestrutura corporativa de TI e monitora continuamente os processos, as conexões de rede abertas e os arquivos em modificação. As informações sobre os eventos no computador (telemetria) são enviadas para o servidor da Kaspersky Unified Monitoring and Analysis Platform (KUMA). Em seu console, a KUMA exibe os eventos como uma lista sem marcação, semelhante ao log de eventos do Windows. Para acessar todas as funcionalidades da KUMA, é necessário comprar uma licença e implementar a solução de acordo com o guia do administrador KUMA.
Integração com KUMA
Para usar a KUMA, as seguintes condições devem ser atendidas:
Kaspersky Security Center versão 14.2 ou posterior. Em versões anteriores do Kaspersky Security Center, é impossível ativar a funcionalidade de integração KUMA.
O aplicativo é ativado e a funcionalidade é contemplada pela licença.
O componente integração KUMA está ativado.
A configuração da integração KUMA envolve as seguintes etapas:
É necessário reiniciar o computador para concluir a atualização do aplicativo com o novo componente.
Ativação do KUMA
Você precisa de uma licença separada para integrar o Kaspersky Endpoint Security com o KUMA (add-on de integração do Kaspersky Endpoint Security for Windows KUMA).
A funcionalidade fica disponível depois da adição da chave KUMA separada. Como resultado, haverá outra chave ativa no computador para a integração do Kaspersky Endpoint Security com o KUMA.
Certifique-se de que a funcionalidade KUMA esteja incluída na licença e esteja sendo executada na interface local do aplicativo.
Conexão com a KUMA
Para conectar o computador com o aplicativo Kaspersky Endpoint Security com a solução KUMA:
Na política do Kaspersky Endpoint Security, adicione os endereços do servidor KUMA e especifique as configurações de rede da conexão.
No console KUMA, adicione um coletor com os conectores do tipo tcp ou udp e especifique as configurações básicas de rede da conexão. Para obter os detalhes sobre o gerenciamento de coletores, consulte a ajuda da Kaspersky Unified Monitoring and Analysis Platform.
É possível estabelecer uma conexão confiável entre os servidores do Kaspersky Endpoint Security e KUMA. Para configurar uma conexão confiável, é necessário usar um certificado TLS. É possível obter um certificado TLS no servidor KUMA Core (consulte as configurações do conector do tipo tcp na ajuda da Kaspersky Unified Monitoring and Analysis Platform). Em seguida, é necessário adicionar o certificado TLS ao Kaspersky Endpoint Security (consulte as instruções abaixo).
Para tornar a conexão mais segura, também é possível ativar a verificação do computador na KUMA (autenticação bidirecional). Para ativar essa verificação, é necessário ativar a autenticação bidirecional na KUMA nas configurações do Kaspersky Endpoint Security. Para usar a autenticação bidirecional, também será necessário um contêiner criptográfico. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É necessário gerar um certificado com a chave privada no formato de contêiner PKCS#12 em uma autoridade de certificação externa. Em seguida, é necessário adicionar o arquivo PFX no console KUMA e no Kaspersky Endpoint Security (consulte as configurações do conector do tipo tcp na ajuda da Kaspersky Unified Monitoring and Analysis Platform).
Abra o Console de Administração do Kaspersky Security Center.
Na árvore do console, selecione Políticas.
Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
Na janela da política, selecione Integração KUMA.
Marque a caixa de seleção Integração KUMA.
Selecione o protocolo para se conectar com os servidores KUMA: TCP, UDP.
Adicione os servidores KUMA. Para fazer isso, especifique o endereço do servidor (IPv4, IPv6) e a porta para se conectar ao servidor.
O Kaspersky Endpoint Security estabelecerá conexão com o primeiro servidor KUMA na lista. Caso a conexão falhe, o Kaspersky Endpoint Security estabelecerá conexão com o segundo servidor KUMA na lista e assim sucessivamente.
Para TCP, é possível configurar uma conexão confiável. Para isso, clique no botão Configurações da conexão com os servidores KUMA.
Configure a conexão do servidor:
Tempo limite. Tempo limite máximo de resposta do servidor KUMA. Quando o tempo limite se esgotar, o Kaspersky Endpoint Security tenta estabelecer conexão com um servidor KUMA diferente.
Certificado TLS do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor KUMA.
Para estabelecer uma conexão confiável, no console KUMA, nas configurações do conector tcp, é necessário selecionar o modo TLS With verification (consulte as configurações do conector do tipo tcp na ajuda da Kaspersky Unified Monitoring and Analysis Platform).
Usar autenticação bidirecional. Autenticação bidirecional ao estabelecer uma conexão segura entre o Kaspersky Endpoint Security e a KUMA. Para usar a autenticação bidirecional, no console KUMA, nas configurações do conector tcp, é necessário selecionar o modo TLS Custom PFX (consulte as configurações do conector do tipo tcp na ajuda da Kaspersky Unified Monitoring and Analysis Platform). Em seguida, é necessário obter um contêiner criptográfico e definir uma senha para protegê-lo. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. Depois de definir as configurações da KUMA, é necessário também ativar a autenticação bidirecional nas configurações do Kaspersky Endpoint Security e carregar um contêiner criptográfico protegido por senha.
O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha.
Clique OK.
Caso seja necessário, defina a configuração Atraso máximo na transmissão de eventos (segundos) no bloco Configurações de transmissão de dados. Quando o tempo especificado se esgotar, o Kaspersky Endpoint Security tentará estabelecer conexão com o mesmo servidor ou com o próximo servidor na lista caso haja vários servidores. A configuração padrão é 30 segundos.
Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
Selecione a guia Configurações do aplicativo.
Ir para a seção Integração KUMA.
Ative o botão de alternância Ativar integração KUMA.
Selecione o protocolo para se conectar com os servidores KUMA: TCP, UDP.
Adicione os servidores KUMA. Para fazer isso, especifique o endereço do servidor (IPv4, IPv6) e a porta para se conectar ao servidor.
O Kaspersky Endpoint Security estabelecerá conexão com o primeiro servidor KUMA na lista. Caso a conexão falhe, o Kaspersky Endpoint Security estabelecerá conexão com o segundo servidor KUMA na lista e assim sucessivamente.
Para TCP, é possível configurar uma conexão confiável. Para isso, clique no botão Configurações de conexão do servidores KUMA.
Configure a conexão do servidor:
Tempo limite. Tempo limite máximo de resposta do servidor KUMA. Quando o tempo limite se esgotar, o Kaspersky Endpoint Security tenta estabelecer conexão com um servidor KUMA diferente.
Certificado TLS do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor KUMA.
Para estabelecer uma conexão confiável, no console KUMA, nas configurações do conector tcp, é necessário selecionar o modo TLS With verification (consulte as configurações do conector do tipo tcp na ajuda da Kaspersky Unified Monitoring and Analysis Platform).
Usar autenticação bidirecional. Autenticação bidirecional ao estabelecer uma conexão segura entre o Kaspersky Endpoint Security e a KUMA. Para usar a autenticação bidirecional, no console KUMA, nas configurações do conector tcp, é necessário selecionar o modo TLS Custom PFX (consulte as configurações do conector do tipo tcp na ajuda da Kaspersky Unified Monitoring and Analysis Platform). Em seguida, é necessário obter um contêiner criptográfico e definir uma senha para protegê-lo. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. Depois de definir as configurações da KUMA, é necessário também ativar a autenticação bidirecional nas configurações do Kaspersky Endpoint Security e carregar um contêiner criptográfico protegido por senha.
O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha.
Clique OK.
Caso seja necessário, defina a configuração Atraso máximo na transmissão de eventos (segundos) no bloco Configurações de transmissão de dados. Quando o tempo especificado se esgotar, o Kaspersky Endpoint Security tentará estabelecer conexão com o mesmo servidor ou com o próximo servidor na lista caso haja vários servidores. A configuração padrão é 30 segundos.
Salvar alterações.
Você pode verificar se o recebimento de eventos do Windows está configurado corretamente no console do KUMA (para obter detalhes, consulte a ajuda do Kaspersky Unified Monitoring and Analysis Platform). Verifique o status operacional do componente visualizando o relatório de status dos componentes do aplicativo no console do Kaspersky Security Center. Também é possível visualizar o status operacional de um componente em relatórios na interface local do Kaspersky Endpoint Security. O componente do Integração KUMA será adicionado na lista de componentes do Kaspersky Endpoint Security.
