Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr
Чтобы импортировать события Kaspersky Endpoint Detection and Response 5.1 с хостов с помощью коннектора kata/edr:
- Выполните настройку на стороне KUMA для получения событий. Для этого создайте и установите в KUMA новый коллектор с коннектором kata/edr или отредактируйте существующий коллектор, а затем сохраните измененные параметры и перезапустите коллектор.
- На стороне КEDR примите запрос авторизации от KUMA, чтобы события начали поступать в KUMA.
В результате интеграция будет настроена и события KEDR будут поступать в KUMA.
Создание коллектора для получения событий из KEDR
- В KUMA → Ресурсы → Коллекторы выберите Добавить коллектор.
- В открывшемся окне Создание коллектора на шаге 1 Подключение источников укажите произвольное Название коллектора и выберите в раскрывающемся списке подходящий Тенант.
- На шаге 2 Транспорт заполните следующие поля:
- На вкладке Основные параметры:
- В поле Коннектор выберите Создать или в том же поле начните набирать название коннектора, если хотите использовать уже созданный коннектор.
- Выберите Тип коннектора kata/edr. После того, как вы выберите тип коннектора kata/edr, появятся дополнительные поля для заполнения.
- В поле URL укажите адрес подключения к серверу KEDR в формате <
имя хоста или IP-адрес хоста
>:<порт подключения, по умолчанию 443
>. Если решение KEDR развернуто в кластере, с помощью кнопки Добавить вы можете добавить все узлы. KUMA будет подключаться последовательно к каждому указанному узлу. Если решение КEDR установлено в распределенной конфигурации, на стороне KUMA необходимо настроить отдельный коллектор для каждого сервера KEDR. - В поле Секрет выберите Создать, чтобы создать новый секрет. В открывшемся окне Создание секрета укажите Название и нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения.
В результате в папку загрузок браузера Загрузки скачивается архив certificate.zip, который содержит файл ключа key.pem и файл сертификата cert.pem. Распакуйте архив. Нажмите Загрузить сертификат и выберите cert.pem. Нажмите Загрузить закрытый ключ и выберите key.pem. После того, как вы нажмете Создать, секрет будет добавлен в раскрывающийся список Секрет и будет автоматически выбран.
Также вы можете выбрать из списка Секрет созданный секрет, с этим секретом KUMA будет подключаться к KEDR.
- Поле Внешний ID содержит идентификатор для внешних систем. Этот идентификатор отображается в веб-интерфейсе KEDR при авторизации сервера KUMA. KUMA генерирует идентификатор автоматически и поле Внешний ID будет автоматически предзаполнено.
- На вкладке Дополнительные параметры.
- Чтобы получать детализированную информацию в журнале коллектора, переведите переключатель Отладка в активное положение.
- В поле Кодировка символов выберите кодировку исходных данных, к которым будет применена конвертация в UTF-8. Мы рекомендуем применять конвертацию только в том случае, если в полях нормализованного события отображаются недопустимые символы. По умолчанию значение не выбрано.
- Укажите Максимальное количество событий в одном запросе к KEDR. По умолчанию указано значение 0 - это означает, что KUMA использует значение, заданное на сервере KEDR. Подробнее см. в Справке KEDR. Вы можете указать произвольное значение, не превышающее значение на стороне KEDR. Если указанное вами значение превысит значение параметра Максимальное количество событий, заданное на сервере KEDR, в журнале коллектора KUMA будет ошибка "Bad Request: max_events N is greater than allowed value".
- В поле Время ожидания получения событий по умолчанию указано значение 0 - это означает, что применяется значение, заданное по умолчанию на сервере KEDR. Подробнее см. в Справке KEDR. В этом поле указано время, по истечении которого сервер KEDR передаст KUMA события. На сервере KEDR действует два параметра: максимальное количество событий и время ожидания получения событий, передача событий происходит в зависимости от того, что произойдет раньше - будет собрано заданное количество событий или истечет заданное время. Если заданное время истекло, а заданного количества событий не набралось, сервер KEDR передаст те, что есть.
- В поле Время ожидания ответа укажите максимальное значение ожидания ответа от сервера KEDR в секундах. Значение по умолчанию: 1800 сек, отображается как 0. В поле Время ожидания ответа указано клиентское ограничение. Значение параметра Время ожидания ответа должно быть больше, чем серверное - Время ожидания получения событий, чтобы не прервать текущую задачу сбора событий новым запросом и дождаться ответа сервера. Если ответ от сервера KEDR все же не поступил, KUMA повторит запрос.
- В поле Фильтр KEDRQL укажите условия фильтрации запроса. В результате со стороны KEDR будут поступать уже отфильтрованные события. Подробнее о доступных полях для фильтрации см. в Справке KEDR.
- На шаге 3 Парсинг нажмите Добавить парсинг событий и в открывшемся окне Основной парсинг событий выберите в раскрывающемся списке нормализатор [ООТВ] KEDR telemetry.
- Чтобы завершить создание коллектора в веб-интерфейсе, нажмите Сохранить и создать сервис. Затем скопируйте в веб-интерфейсе команду установки коллектора и выполните команду установки в интерпретаторе командной строки на сервере, где вы хотите установить коллектор. Если вы редактировали существующий коллектор, нажмите Сохранить и перезапустить сервисы.
В результате коллектор создан и готов к отправке запросов, при этом коллектор будет отображаться в разделе Ресурсы → Активные сервисы в желтом статусе, пока на стороне КEDR не будет принят запрос авторизации от KUMA.
Авторизация KUMA на стороне KEDR
После того, как в KUMA создан коллектор, необходимо на стороне KEDR принять запрос авторизации KUMA, чтобы запросы от KUMA начали поступать в KEDR. После принятой авторизации коллектор KUMA автоматически по расписанию отправляет запрос в KEDR и ждет ответа. Все время ожидания статус коллектора будет желтый, а после получения первого ответа на отправленный запрос статус коллектора сменится на зеленый.
При первом запросе поступит часть исторических событий, которые произошли до момента интеграции. Когда все исторические события поступят, начнут поступать текущие события. Если вы измените значение параметра URL или Внешний ID для существующего коллектора, KEDR примет запрос как новый и после запуска коллектора KUMA с измененными параметрами вы снова получите часть исторических событий. Если вы не хотите получать исторические события, перейдите в настройки нужного коллектора, настройте в нормализаторе сопоставление полей timestamp KEDR и KUMA, и на шаге мастера установки коллектора Фильтрация событий укажите фильтр по timestamp так, чтобы timestamp событий был больше, чем timestamp запуска коллектора.
В результате интеграция настроена и вы можете просмотреть поступающие из KEDR события в разделе KUMA → События.
Возможные ошибки и способы решения
Если в журнале коллектора ошибка "Conflict: An external system with the following ip and certificate digest already exists. Either delete it or provide a new certificate", необходимо создать новый секрет с новым сертификатом в коннекторе коллектора.
Если в журнале коллектора возникает ошибка "Continuation token not found" в ответ на запрос событий, нужно создать новый коннектор, прикрепить его к коллектору и перезапустить коллектор, или создать новый секрет с новым сертификатом в коннекторе коллектора. Если нет необходимости получать события, которые были сформированы до возникновения ошибки, следует настроить в коллекторе фильтр по Timestamp.
В начало