Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Kaspersky Endpoint Security для Windows поддерживает работу с решением Kaspersky Unified Monitoring and Analysis Platform. Kaspersky Unified Monitoring and Analysis Platform (KUMA) – решение класса SIEM для управления информацией о безопасности и событиями безопасности в ИТ-инфраструктуре организации. KUMA позволяет обнаруживать, анализировать и устранять угрозы безопасности раньше, чем они нанесут ущерб организации.

Приложение Kaspersky Endpoint Security устанавливается на отдельных компьютерах, входящих в IT-инфраструктуру организации, и осуществляет постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Данные о событиях на компьютере (телеметрия) отправляются на сервер Kaspersky Unified Monitoring and Analysis Platform (KUMA). KUMA показывает события в своей консоли в виде списка без разметки, как в журнале событий Windows. Для доступа ко всем функциям KUMA вам нужно приобрести лицензию на решение и развернуть решение в соответствии с Руководством администратора KUMA.

Интеграция с KUMA

Для работы KUMA должны быть выполнены следующие условия:

Kaspersky Security Center версии 14.2 или выше. В более ранних версиях Kaspersky Security Center невозможно активировать функциональность интеграции с KUMA.
Приложение активировано и функциональность входит в лицензию.
Компонент интеграции с KUMA включен.

Интеграция с KUMA состоит из следующих этапов:

Установка компонента для интеграции c KUMA
Вы можете выбрать компонент для интеграции с KUMA во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

Для завершения обновления приложения с новым компонентом нужно перезагрузить компьютер.
Активация KUMA
Вам потребуется отдельная лицензия для интеграции Kaspersky Endpoint Security с KUMA (Kaspersky Endpoint Security для Windows KUMA Integration Add-on).

Функциональность будет доступна после добавления отдельного ключа KUMA. В результате на компьютере будет еще один активный ключ для интеграции Kaspersky Endpoint Security с KUMA.

Лицензирование отдельной функциональности KUMA не отличается от лицензирования Kaspersky Endpoint Security.

Убедитесь, что функциональность KUMA включена в лицензию и работает в локальном интерфейсе приложения.
Подключение к KUMA
Для подключения компьютера с установленным приложением Kaspersky Endpoint Security к решению KUMA вам нужно выполнить следующие действия:
1. В политике Kaspersky Endpoint Security добавьте адреса серверов KUMA и настройте сетевые параметры подключения.
2. В консоли KUMA добавьте коллектор с коннекторами типа tcp или udp и настройте сетевые параметры подключения. Подробнее о работе с коллекторами см. в справке Kaspersky Unified Monitoring and Analysis Platform.
Вы можете установить доверенное соединение между Kaspersky Endpoint Security и серверами KUMA. Для настройки доверенного соединения вам нужен TLS-сертификат. Вы можете получить TLS-сертификат на сервере Ядра KUMA (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform). Далее вам нужно добавить TLS-сертификат в Kaspersky Endpoint Security (см. инструкцию ниже).

Чтобы сделать соединение более безопасным, вы можете включить дополнительную проверку компьютера в KUMA (двусторонняя аутентификация). Для включения такой проверки вам нужно включить двустороннюю аутентификацию в параметрах KUMA и Kaspersky Endpoint Security. Также для двусторонней аутентификации вам нужен криптоконтейнер. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом. Вам нужно сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации. Далее вам нужно добавить PFX-архив в консоли KUMA и в Kaspersky Endpoint Security (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform).

Как подключить компьютер с Kaspersky Endpoint Security к KUMA в Консоли администрирования (MMC)
1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
4. В окне политики выберите Интеграция с KUMA.
5. Установите флажок Интеграция с KUMA.
6. Выберите протокол для подключения к серверам KUMA: TCP, UDP.
7. Добавьте серверы KUMA. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.
  Kaspersky Endpoint Security подключается к первому серверу KUMA из списка. Если подключение не удается, Kaspersky Endpoint Security подключается ко второму серверу KUMA и так далее по списку.
8. Для протокола TCP вы можете настроить доверенное соединение. Для этого нажмите на кнопку Настройки подключения к серверам KUMA.
9. Настройте параметры подключения к серверам:
  - Время ожидания. Максимальное время ожидания ответа от сервера KUMA. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу KUMA.
  - TLS-сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером KUMA.
    Для доверенного соединения вам нужно в консоли KUMA в параметрах коннектора типа tcp выбрать режим TLS C верификацией (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform).
  - Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и KUMA. Для использования двусторонней аутентификации вам нужно в консоли KUMA в параметрах коннектора типа tcp выбрать режим TLS Нестандартный PFX (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform). Далее вам нужно получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. После настройки параметров KUMA вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.
    Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.
10. Нажмите на кнопку OK.
11. Если требуется, в блоке Настройка передачи данных настройте параметр Максимальная задержка отправки событий (сек.). По истечении указанного времени Kaspersky Endpoint Security повторно пробует подключиться к тому же серверу или подключается к следующему в списке серверу, если их несколько. По умолчанию установлено значение 30 секунд.
12. Сохраните внесенные изменения.
Как подключить компьютер с Kaspersky Endpoint Security к KUMA в Web Console
1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
  Откроется окно свойств политики.
3. Выберите закладку Параметры программы.
4. Перейдите в раздел Интеграция с KUMA.
5. Включите переключатель Включить Интеграцию с KUMA.
6. Выберите протокол для подключения к серверам KUMA: TCP, UDP.
7. Добавьте серверы KUMA. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.
  Kaspersky Endpoint Security подключается к первому серверу KUMA из списка. Если подключение не удается, Kaspersky Endpoint Security подключается ко второму серверу KUMA и так далее по списку.
8. Для протокола TCP вы можете настроить доверенное соединение. Для этого нажмите на кнопку Настройки подключения к серверам KUMA.
9. Настройте параметры подключения к серверам:
  - Время ожидания. Максимальное время ожидания ответа от сервера KUMA. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу KUMA.
  - TLS-сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером KUMA.
    Для доверенного соединения вам нужно в консоли KUMA в параметрах коннектора типа tcp выбрать режим TLS C верификацией (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform).
  - Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и KUMA. Для использования двусторонней аутентификации вам нужно в консоли KUMA в параметрах коннектора типа tcp выбрать режим TLS Нестандартный PFX (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform). Далее вам нужно получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. После настройки параметров KUMA вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.
    Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.
10. Нажмите на кнопку OK.
11. Если требуется, в блоке Настройка передачи данных настройте параметр Максимальная задержка отправки событий (сек.). По истечении указанного времени Kaspersky Endpoint Security повторно пробует подключиться к тому же серверу или подключается к следующему в списке серверу, если их несколько. По умолчанию установлено значение 30 секунд.
12. Сохраните внесенные изменения.

Вы можете проверить, что настройка сервера источника событий Windows выполнена правильно, в консоли KUMA (см. в справке Kaspersky Unified Monitoring and Analysis Platform). Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов приложения в консоли Kaspersky Security Center. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Интеграция с KUMA.

В начало