Kaspersky Unified Monitoring and Analysis Platform (KUMA)
Kaspersky Endpoint Security for Windows acceptă soluția Kaspersky Unified Monitoring and Analysis Platform. Kaspersky Unified Monitoring and Analysis Platform (KUMA) este o soluție de management al informațiilor și evenimentelor de securitate (SIEM) pentru infrastructura IT a organizațiilor. KUMA permite detectarea, analizarea și atenuarea amenințărilor de securitate înainte ca acestea să poată provoca daune.
Kaspersky Endpoint Security este instalat pe computere individuale din infrastructura IT corporativă și monitorizează continuu procesele, conexiunile la rețea deschise și fișierele care sunt modificate. Informațiile despre evenimentele de pe computer (telemetrie) sunt trimise către serverul Kaspersky Unified Monitoring and Analysis Platform (KUMA). Kaspersky Endpoint Security trimite, de asemenea, informații către serverul KUMA despre amenințările descoperite de aplicație, precum și informații despre rezultatele procesării pentru aceste amenințări. În consola sa, KUMA afișează evenimentele ca o listă fără marcaj, similară jurnalului de evenimente Windows. Pentru a avea acces la toate funcționalitățile KUMA, trebuie să cumpărați o licență și să implementați soluția în conformitate cu Ghidul administratorului KUMA.
Integrare cu KUMA
Pentru a utiliza KUMA, trebuie îndeplinite următoarele condiții:
Kaspersky Security Center versiunea 14.2 sau o versiune ulterioară. În versiunile anterioare ale Kaspersky Security Center, este imposibil de activat funcționalitatea de integrare KUMA.
Aplicația este activată și funcționalitatea este acoperită de licență.
Componenta de integrare KUMA este activată.
Componentele aplicației care oferă suport Kaspersky Unified Monitoring and Analysis Platform sunt activate și se execută. Următoarele componente asigură funcționarea KUMA:
Trebuie să reporniți computerul pentru a finaliza efectuarea upgrade-ului aplicației cu noua componentă.
Activare KUMA
Trebuie să cumpărați o licență care include obiectul licenței de telemetrie XDR.
Funcționalitatea devine disponibilă după adăugarea cheii KUMA separată. Ca rezultat, sunt adăugate două chei pe computer: o cheie pentru Kaspersky Endpoint Security și o cheie pentru Kaspersky Unified Monitoring and Analysis Platform (KUMA).
Asigurați-vă că funcționalitatea componentei KUMA este inclusă în licență și că aceasta funcționează în interfața locală a aplicației.
Conectarea la KUMA
Pentru a conecta computerul cu soluția Kaspersky Endpoint Security la soluția KUMA:
În politica Kaspersky Endpoint Security, adăugați adresele serverului KUMA și specificați setările de rețea ale conexiunii.
În consola KUMA, adăugați un colector cu conectori de tip tcp sau udp și specificați setările de bază ale rețelei pentru conexiune. Pentru detalii despre gestionarea colectorilor, consultați Ajutorul Kaspersky Unified Monitoring and Analysis Platform.
Puteți stabili o conexiune de încredere între serverele Kaspersky Endpoint Security și KUMA. Pentru a configura o conexiune de încredere, trebuie să utilizați un certificat TLS. Puteți obține un certificat TLS pe serverul KUMA Core (consultați setările pentru conectorul de tip tcp în Ajutor Kaspersky Unified Monitoring and Analysis Platform). Apoi, trebuie să adăugați certificatul TLS la Kaspersky Endpoint Security (consultați instrucțiunile de mai jos).
Pentru a face conexiunea mai sigură, puteți activa suplimentar verificarea computerului în KUMA (autentificare mutuală). Pentru a activa această verificare, trebuie să activați autentificarea mutuală în setările KUMA și Kaspersky Endpoint Security. Pentru a utiliza autentificarea mutuală, veți avea nevoie și de un cripto-container. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Trebuie să generați un certificat cu cheia privată în formatul containerului PKCS#12 într-o autoritate de certificare externă. Apoi, trebuie să adăugați arhiva PFX în consola KUMA și în Kaspersky Endpoint Security (consultați setările pentru conectorul de tip tcp în Ajutor Kaspersky Unified Monitoring and Analysis Platform).
Deschide Consolă de administrare a Kaspersky Security Center.
În arborele consolei, selectați Policies.
Selectați politica necesară și faceți dublu clic pentru a deschide proprietățile politicii.
În fereastra politicii, selectați Integrare KUMA.
Bifați caseta de selectare Integrare KUMA.
Selectați protocolul pentru conectarea la serverele KUMA: TCP, UDP.
Adăugați serverele KUMA. Pentru a face acest lucru, specificați adresa serverului (IPv4, IPv6) și portul de conectare la server.
Kaspersky Endpoint Security se conectează la primul server KUMA din listă. Dacă conexiunea eșuează, Kaspersky Endpoint Security se conectează la al doilea server KUMA din listă și așa mai departe.
Pentru TCP, puteți configura o conexiune de încredere. Pentru aceasta, fă clic pe butonul Setări conectare server KUMA.
Configurați conexiunea la server:
Expiră. Expirarea timpului maxim de răspuns al serverului KUMA. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server KUMA.
Certificat TLS server. Certificatul TLS pentru stabilirea unei conexiuni de încredere cu serverul KUMA.
Pentru a stabili o conexiune de încredere, în consola KUMA, în setările conectorului tcp, trebuie să selectați modul TLS With verification (consultați setările pentru conectorul de tip tcp în Ajutor Kaspersky Unified Monitoring and Analysis Platform).
Utilizează autentificarea mutuală. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și KUMA. Pentru a utiliza autentificarea mutuală, în consola KUMA, în setările conectorului tcp, trebuie să selectați modul TLS Custom PFX (consultați setările pentru conectorul de tip tcp în Ajutor Kaspersky Unified Monitoring and Analysis Platform). Apoi trebuie să obțineți un criptocontainer și să setați o parolă pentru a proteja criptocontainerul. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. După configurarea setărilor KUMA, trebuie să activați și autentificarea mutuală în setările Kaspersky Endpoint Security și să încărcați un container crypto protejat prin parolă.
Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată.
Fă clic pe OK.
Dacă este necesar, configurați setarea Întârziere maximă între transmiterea evenimentelor (sec) în blocul Setări transmitere date. Când expiră timpul specificat, Kaspersky Endpoint Security încearcă să se conecteze la același server sau se conectează la următorul server din listă dacă există mai multe servere. Valoarea implicită este 30 de secunde.
În fereastra principală a Web Console, selectați Devices → Policies & profiles.
Faceți clic pe numele politicii Kaspersky Endpoint Security.
Se deschide fereastra de proprietăți a politicii.
Selectați fila Application settings.
Accesează secțiunea KUMA Integration.
Duceți comutatorul Activează integrarea KUMA la poziția activat.
Selectați protocolul pentru conectarea la serverele KUMA: TCP, UDP.
Adăugați serverele KUMA. Pentru a face acest lucru, specificați adresa serverului (IPv4, IPv6) și portul de conectare la server.
Kaspersky Endpoint Security se conectează la primul server KUMA din listă. Dacă conexiunea eșuează, Kaspersky Endpoint Security se conectează la al doilea server KUMA din listă și așa mai departe.
Pentru TCP, puteți configura o conexiune de încredere. Pentru aceasta, fă clic pe butonul Settings for connecting to KUMA servers.
Configurați conexiunea la server:
Timeout. Expirarea timpului maxim de răspuns al serverului KUMA. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server KUMA.
Server TLS certificate. Certificatul TLS pentru stabilirea unei conexiuni de încredere cu serverul KUMA.
Pentru a stabili o conexiune de încredere, în consola KUMA, în setările conectorului tcp, trebuie să selectați modul TLS With verification (consultați setările pentru conectorul de tip tcp în Ajutor Kaspersky Unified Monitoring and Analysis Platform).
Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și KUMA. Pentru a utiliza autentificarea mutuală, în consola KUMA, în setările conectorului tcp, trebuie să selectați modul TLS Custom PFX (consultați setările pentru conectorul de tip tcp în Ajutor Kaspersky Unified Monitoring and Analysis Platform). Apoi trebuie să obțineți un criptocontainer și să setați o parolă pentru a proteja criptocontainerul. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. După configurarea setărilor KUMA, trebuie să activați și autentificarea mutuală în setările Kaspersky Endpoint Security și să încărcați un container crypto protejat prin parolă.
Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată.
Fă clic pe OK.
Dacă este necesar, configurați setarea Maximum events transmission delay (sec) în blocul Data transmission settings. Când expiră timpul specificat, Kaspersky Endpoint Security încearcă să se conecteze la același server sau se conectează la următorul server din listă dacă există mai multe servere. Valoarea implicită este 30 de secunde.
Salvați-vă modificările.
Ca rezultat, computerul este adăugat în consola KUMA. Verificați starea de funcționare a componentei, vizualizând Application components status report. De asemenea, puteți vizualiza starea de funcționare a unei componente în rapoarte, în interfața locală a Kaspersky Endpoint Security. Componenta Integrare KUMA va fi adăugată la lista componentelor Kaspersky Endpoint Security.