Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr
Чтобы импортировать события Kaspersky Endpoint Detection and Response 5.1 с хостов с помощью коннектора kata/edr:
- Выполните настройку на стороне KUMA для получения событий. Для этого создайте и установите в KUMA коллектор с коннектором kata/edr или отредактируйте существующий коллектор, а затем сохраните измененные параметры и перезапустите коллектор.
- На стороне КEDR примите запрос авторизации от KUMA, чтобы события начали поступать в KUMA.
В результате интеграция будет настроена, и события KEDR будут поступать в KUMA.
Создание коллектора для получения событий из KEDR
Чтобы создать коллектор для получения событий из KEDR:
- В KUMA → Ресурсы → Коллекторы выберите Добавить коллектор.
- В открывшемся окне Создание коллектора на шаге 1 Подключение источников укажите произвольное Название коллектора и выберите в раскрывающемся списке подходящий Тенант.
- На шаге 2 Транспорт выполните следующие действия:
- На вкладке Основные параметры:
- В поле Коннектор выберите Создать или в этом же поле начните набирать название коннектора, если хотите использовать уже созданный коннектор.
- В раскрывающемся списке Тип коннектора выберите коннектор kata/edr. После того как вы выберите тип коннектора kata/edr, появятся дополнительные поля для заполнения.
- В поле URL укажите адрес подключения к серверу KEDR в формате <
имя хоста или IP-адрес хоста
>:<порт подключения, по умолчанию 443
>. Если решение KEDR развернуто в кластере, с помощью кнопки Добавить вы можете добавить все узлы. KUMA будет подключаться последовательно к каждому указанному узлу. Если решение КEDR установлено в распределенной конфигурации, на стороне KUMA необходимо настроить отдельный коллектор для каждого сервера KEDR. - В поле Секрет выберите Создать, чтобы создать новый секрет. В открывшемся окне Создание секрета укажите Название и нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения.
В результате в папку загрузок браузера, например Загрузки, будет скачан архив certificate.zip, который содержит файл ключа key.pem и файл сертификата cert.pem. Распакуйте архив. Нажмите Загрузить сертификат и выберите cert.pem. Нажмите Загрузить закрытый ключ и выберите key.pem. Нажмите Создать, после этого секрет будет добавлен в раскрывающийся список Секрет и будет автоматически выбран.
Также вы можете выбрать из списка Секрет созданный секрет, с этим секретом KUMA будет подключаться к KEDR.
- Поле Внешний ID содержит идентификатор для внешних систем. Этот идентификатор отображается в веб-интерфейсе KEDR при авторизации сервера KUMA. KUMA генерирует идентификатор автоматически и поле Внешний ID будет автоматически предзаполнено.
- На вкладке Дополнительные параметры:
- Чтобы получать детализированную информацию в журнале коллектора, переведите переключатель Отладка в активное положение.
- При необходимости в поле Кодировка символов выберите кодировку исходных данных, к которым будет применена конвертация в UTF-8. Мы рекомендуем применять конвертацию только в том случае, если в полях нормализованного события отображаются недопустимые символы. По умолчанию значение не выбрано.
- Укажите Максимальное количество событий в одном запросе к KEDR. По умолчанию указано значение 0 - это означает, что KUMA использует значение, заданное на сервере KEDR. Подробнее см. в Справке KATA. Вы можете указать произвольное значение, не превышающее значение на стороне KEDR. Если указанное вами значение превысит значение параметра Максимальное количество событий, заданное на сервере KEDR, в журнале коллектора KUMA будет ошибка "Bad Request: max_events N is greater than allowed value".
- В поле Время ожидания получения событий по умолчанию указано значение 0. Это означает, что применяется значение, заданное по умолчанию на сервере KEDR. Подробнее см. в Справке KATA. В этом поле указано время, по истечении которого сервер KEDR передаст KUMA события. На сервере KEDR действует два параметра: максимальное количество событий и время ожидания получения событий, передача событий происходит в зависимости от того, что произойдет раньше - будет собрано заданное количество событий или истечет заданное время. Если заданное время истекло, а заданного количества событий не набралось, сервер KEDR передаст те, что есть.
- В поле Время ожидания ответа укажите максимальное значение ожидания ответа от сервера KEDR в секундах. Значение по умолчанию: 1800 сек, отображается как 0. В поле Время ожидания ответа указано клиентское ограничение. Значение параметра Время ожидания ответа должно быть больше, чем серверное Время ожидания получения событий, чтобы не прервать текущую задачу сбора событий новым запросом и дождаться ответа сервера. Если ответ от сервера KEDR все же не поступил, KUMA повторит запрос.
- В поле Фильтр KEDRQL укажите условия фильтрации запроса. В результате со стороны KEDR будут поступать уже отфильтрованные события. Подробнее о доступных полях для фильтрации см. в Справке KATA.
- На шаге 3 Парсинг нажмите Добавить парсинг событий и в открывшемся окне Основной парсинг событий выберите в раскрывающемся списке нормализатор [ООТВ] KEDR telemetry.
- Чтобы завершить создание коллектора в веб-интерфейсе, нажмите Сохранить и создать сервис. Затем скопируйте в веб-интерфейсе команду установки коллектора и выполните команду установки в интерпретаторе командной строки на сервере, где вы хотите установить коллектор.
Если вы редактировали существующий коллектор, нажмите Сохранить и перезапустить сервисы.
В результате коллектор создан и готов к отправке запросов, при этом коллектор будет отображаться в разделе Ресурсы → Активные сервисы в желтом статусе, пока на стороне КEDR не будет принят запрос авторизации от KUMA.
Авторизация KUMA на стороне KEDR
После того, как в KUMA создан коллектор, на стороне KEDR необходимо принять запрос авторизации KUMA, чтобы запросы от KUMA начали поступать в KEDR. После принятой авторизации коллектор KUMA автоматически по расписанию отправляет запрос в KEDR и ждет ответа. Все время ожидания статус коллектора будет желтый, а после получения первого ответа на отправленный запрос статус коллектора сменится на зеленый.
В результате интеграция настроена и вы можете просмотреть поступающие из KEDR события в разделе KUMA → События.
При первом запросе поступит часть исторических событий, которые произошли до момента интеграции. Когда все исторические события поступят, начнут поступать текущие события. Если вы измените значение параметра URL или Внешний ID для существующего коллектора, KEDR примет запрос как новый и после запуска коллектора KUMA с измененными параметрами вы снова получите часть исторических событий. Если вы не хотите получать исторические события, перейдите в параметры настройки нужного коллектора, настройте в нормализаторе сопоставление полей timestamp
KEDR и KUMA и на шаге мастера установки коллектора Фильтрация событий укажите фильтр по timestamp
так, чтобы значение timestamp
событий было больше, чем значение timestamp
запуска коллектора.
Возможные ошибки и способы решения
Если в журнале коллектора ошибка "Conflict: An external system with the following ip and certificate digest already exists. Either delete it or provide a new certificate", необходимо создать новый секрет с новым сертификатом в коннекторе коллектора.
Если в журнале коллектора возникает ошибка "Continuation token not found" в ответ на запрос событий, нужно создать новый коннектор, прикрепить его к коллектору и перезапустить коллектор, или создать новый секрет с новым сертификатом в коннекторе коллектора. Если нет необходимости получать события, которые были сформированы до возникновения ошибки, следует настроить в коллекторе фильтр по Timestamp.
В начало