Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Kaspersky Endpoint Security for Windows 支援 Kaspersky Unified Monitoring and Analysis Platform 解決方案。Kaspersky Unified Monitoring and Analysis Platform (KUMA) 是適用於組織 IT 基礎架構的安全資訊和事件管理 (SIEM) 解決方案。KUMA 可讓您在安全威脅造成損害之前進行偵測、分析和緩解。

Kaspersky Endpoint Security 應用程式安裝在公司 IT 基礎結構上的單個電腦上，持續監控處理程序、開啟的網路連線和被修改的檔案。有關電腦上的事件的資訊（遙測資料）被傳送到 Kaspersky Unified Monitoring and Analysis Platform (KUMA) 伺服器。在其主控台中，KUMA 將事件顯示為沒有標記的列表，類似於 Windows 事件日誌。要存取所有 KUMA 功能，您必須購買產品許可並按照KUMA 管理員指南部署解決方案。

與 KUMA 整合

要使用 KUMA 必須滿足以下條件：

卡巴斯基安全管理中心版本 14.2 或更高版本。在早期版本的卡巴斯基安全管理中心中，無法啟動 KUMA 整合功能。
應用程式被啟動，功能受產品授權覆蓋。
KUMA 整合元件被啟用。

設定 KUMA 整合涉及以下步驟：

安裝 KUMA 整合元件
您可以在安裝或者更新應用程式，以及使用變更應用程式元件工作期間選擇 KUMA 整合元件。

您必須重新啟動電腦以完成升級含新元件的應用程式。
KUMA 啟動
您需要單獨的產品授權將 Kaspersky Endpoint Security 與 KUMA（Kaspersky Endpoint Security for Windows KUMA Integration Add-on）進行整合。

新增單獨的 KUMA 金鑰後，該功能即可使用。因此，電腦上將有另一個用於 Kaspersky Endpoint Security 與 KUMA 整合的活動金鑰。

獨立 KUMA 功能的授權和 Kaspersky Endpoint Security 的授權一樣。

確保 KUMA 功能包括在產品授權中且在應用程式的本機介面中工作。
連線至 KUMA
若要將裝有 Kaspersky Endpoint Security 應用程式的電腦連線到 KUMA 解決方案：
1. 在 Kaspersky Endpoint Security 政策中，新增 KUMA 伺服器位址並指定已連線的網路設定。
2. 在 KUMA 主控台中，新增具有 tcp 或 udp 類型連線器的收集器，並指定連線的基本網路設定。有關管理收集器的詳細資訊，請參閱 Kaspersky Unified Monitoring and Analysis Platform 說明。
您可以在 Kaspersky Endpoint Security 和 KUMA 伺服器之間建立可信任連線。要配置可信連線，您必須使用 TLS 憑證。您可以在 KUMA Core 伺服器上取得 TLS 憑證（請參閱 Kaspersky Unified Monitoring and Analysis Platform 說明中 tcp 類型連線器的設定）。然後您必須將 TLS 憑證新增到 Kaspersky Endpoint Security（參見下面的說明）。

為了使連線更安全，您可以額外啟用在 KUMA 中進行電腦驗證（雙向身分驗證）。要啟用此驗證，您必須在 KUMA 和 Kaspersky Endpoint Security 設定中開啟雙向身分驗證。要使用雙向身分驗證，您還需要一個加密容器。加密容器是一個帶有憑證和私鑰的 PFX 存檔。您必須在外部憑證授權單位中使用 PKCS#12 容器格式的私密金鑰產生憑證。然後，您必須在 KUMA 主控台和 Kaspersky Endpoint Security 中新增 PFX 存檔（請參閱 Kaspersky Unified Monitoring and Analysis 說明）。

如何使用管理主控台 (MMC) 將 Kaspersky Endpoint Security 電腦連線到 KUMA
1. 開啟卡巴斯基安全管理中心管理主控台。
2. 在主控台樹狀目錄中，選擇“政策”。
3. 選擇必要的政策並點擊以開啟政策內容。
4. 在政策視窗中，選取“KUMA 整合”。
5. 選擇“KUMA 整合”核取方塊。
6. 選擇連線至 KUMA 伺服器的協定：TCP、UDP。
7. 新增 KUMA 伺服器。為此，請指定伺服器位址（IPv4、IPv6）和連線到伺服器的連接埠。
  Kaspersky Endpoint Security 將連線到清單中的第一台 KUMA 伺服器。如果連線失敗，Kaspersky Endpoint Security 將連線到清單中的第二台 KUMA 伺服器，依此類推。
8. 對於 TCP，您可以設定可信任連線。要執行此操作，請點擊”KUMA 伺服器連線設定”按鈕。
9. 配置伺服器連線：
  - 逾時KUMA 伺服器響應最大逾時。當超時用完時，Kaspersky Endpoint Security 會嘗試連線到不同的 KUMA 伺服器。
  - 伺服器 TLS 憑證用於與 KUMA 伺服器建立可信連線的 TLS 憑證。
    若要建立可信任連線，在 KUMA 主控台的 tcp 連線器設定中，您必須選擇 With verification TLS 模式（請參閱 Kaspersky Unified Monitoring and Analysis Platform 說明中 tcp 類型連線器的設定）。
  - 使用雙向身分驗證在 Kaspersky Endpoint Security 和 KUMA 之間建立安全連線時進行雙向身分驗證。若要使用雙向身分驗證，在 KUMA 主控台的 tcp 連線器設定中，您必須選擇 Custom PFX TLS 模式（請參閱 Kaspersky Unified Monitoring and Analysis Platform 說明中 tcp 類型連線器的設定）。然後您必須取得加密容器並設定密碼來保護該加密容器。加密容器是一個帶有憑證和私鑰的 PFX 存檔。配置 KUMA 設定後，您還需要在 Kaspersky Endpoint Security 設定中啟用雙向身分驗證並加載受密碼防護的加密容器。
    加密容器必須受密碼防護。無法新增密碼為空的加密容器。
10. 單擊“確定”。
11. 如有必要，在資料傳輸設定塊中配置最大事件傳輸延遲時間（秒）設定。當指定的時間用完時，Kaspersky Endpoint Security 會嘗試連線到相同伺服器，或連線到清單中的下一個伺服器（如果有多個伺服器）。預設設定是 30 秒。
12. 儲存變更。
如何使用 Web 主控台將 Kaspersky Endpoint Security 電腦連線到 KUMA
1. 在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
2. 點擊 Kaspersky Endpoint Security 政策的名稱。
  政策內容視窗將開啟。
3. 選擇“應用程式設定”標籤。
4. 轉到“KUMA 整合”區域。
5. 開啟“啟用 KUMA 整合“開關。
6. 選擇連線至 KUMA 伺服器的協定：TCP、UDP。
7. 新增 KUMA 伺服器。為此，請指定伺服器位址（IPv4、IPv6）和連線到伺服器的連接埠。
  Kaspersky Endpoint Security 將連線到清單中的第一台 KUMA 伺服器。如果連線失敗，Kaspersky Endpoint Security 將連線到清單中的第二台 KUMA 伺服器，依此類推。
8. 對於 TCP，您可以設定可信任連線。要執行此操作，請點擊”KUMA 伺服器連線設定”按鈕。
9. 配置伺服器連線：
  - 逾時KUMA 伺服器響應最大逾時。當超時用完時，Kaspersky Endpoint Security 會嘗試連線到不同的 KUMA 伺服器。
  - 伺服器 TLS 憑證用於與 KUMA 伺服器建立可信連線的 TLS 憑證。
    若要建立可信任連線，在 KUMA 主控台的 tcp 連線器設定中，您必須選擇 With verification TLS 模式（請參閱 Kaspersky Unified Monitoring and Analysis Platform 說明中 tcp 類型連線器的設定）。
  - 使用雙向身分驗證在 Kaspersky Endpoint Security 和 KUMA 之間建立安全連線時進行雙向身分驗證。若要使用雙向身分驗證，在 KUMA 主控台的 tcp 連線器設定中，您必須選擇 Custom PFX TLS 模式（請參閱 Kaspersky Unified Monitoring and Analysis Platform 說明中 tcp 類型連線器的設定）。然後您必須取得加密容器並設定密碼來保護該加密容器。加密容器是一個帶有憑證和私鑰的 PFX 存檔。配置 KUMA 設定後，您還需要在 Kaspersky Endpoint Security 設定中啟用雙向身分驗證並加載受密碼防護的加密容器。
    加密容器必須受密碼防護。無法新增密碼為空的加密容器。
10. 單擊“確定”。
11. 如有必要，在資料傳輸設定塊中配置最大事件傳輸延遲時間（秒）設定。當指定的時間用完時，Kaspersky Endpoint Security 會嘗試連線到相同伺服器，或連線到清單中的下一個伺服器（如果有多個伺服器）。預設設定是 30 秒。
12. 儲存變更。

您可以驗證 KUMA 主控台中是否正確配置了 Windows 事件的接收（有關詳細資訊，請參閱 Kaspersky Unified Monitoring and Analysis Platform 說明）。透過在卡巴斯基安全管理中心中檢視”應用程式元件狀態報告”來檢查元件的運行狀態。您還可以在 Kaspersky Endpoint Security 的本地介面中的報告中檢視元件的運行狀態。“KUMA 整合”元件將新增到 Kaspersky Endpoint Security 元件清單中。

頁面頂部