Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kafka
При импорте событий из Kaspersky Endpoint Detection and Response телеметрия передается открытым текстом и может быть перехвачена злоумышленником.
Вы можете импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.0, 4.1, 5.0 и 5.1 с помощью коннектора Kafka.
При импорте событий из Kaspersky Endpoint Detection and Response 4.0 и 4.1 действует ряд ограничений:
- Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
- Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.
Для импорта событий вам потребуется выполнить действия на стороне Kaspersky Endpoint Detection and Response и на стороне KUMA.
Импорт событий Kaspersky Endpoint Detection and Response 4.0 или 4.1
Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.0 или 4.1, выполните следующие действия:
На стороне Kaspersky Endpoint Detection and Response:
- Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
- В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.
Отобразится меню администратора компонента программы.
- В меню администратора компонента программы выберите режим Technical Support Mode.
- Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.
- Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
- Выполните команду:
sudo -i
- В конфигурационном файле
/etc/sysconfig/apt-services
в полеKAFKA_PORTS
удалите значение10000
.Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000.
Мы не рекомендуем использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду:
iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP
- В конфигурационном файле
/usr/bin/apt-start-sedr-iptables
в полеWEB_PORTS
добавьте значение10000
через запятую без пробела. - Выполните команду:
sudo sh /usr/bin/apt-start-sedr-iptables
Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.
На стороне KUMA:
- На сервере KUMA добавьте IP-адрес сервера Central Node в формате
<IP-адрес> centralnode
в один из следующих файлов:%WINDIR%\System32\drivers\etc\hosts
– для Windows./etc/hosts file
– для Linux.
- В веб-интерфейсе KUMA создайте коннектор типа Kafka.
При создании коннектора укажите следующие параметры:
- В поле URL укажите
<IP-адрес сервера Central Node>:10000
. - В поле Topic укажите
EndpointEnrichedEventsTopic
. - В поле Consumer group укажите любое уникальное имя.
- В поле URL укажите
- В веб-интерфейсе KUMA создайте коллектор.
В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора используйте [OOTB] KEDR telemetry.
При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.
Импорт событий Kaspersky Endpoint Detection and Response 5.0 и 5.1
При импорте событий из Kaspersky Endpoint Detection and Response 5.0 и 5.1 действует ряд ограничений:
- Импорт событий доступен только для неотказоустойчивой версии Kaspersky Endpoint Detection and Response.
- Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
- Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.
Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 5.0 или 5.1, выполните следующие действия:
На стороне Kaspersky Endpoint Detection and Response:
- Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
- В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.
Отобразится меню администратора компонента программы.
- В меню администратора компонента программы выберите режим Technical Support Mode.
- Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.
- Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
- В конфигурационном файле
/usr/local/lib/python3.8/dist-packages/firewall/create_iptables_rules.py
укажите дополнительный порт10000
для константыWEB_PORTS
:WEB_PORTS = f'10000,80,{AppPort.APT_AGENT_PORT},{AppPort.APT_GUI_PORT}'
Для версии Kaspersky Endpoint Detection and Response 5.1 этот шаг выполнять не нужно, порт указан по умолчанию.
- Выполните команды:
kata-firewall stop
kata-firewall start --cluster-subnet <маска сети для адресации серверов кластера>
Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.
На стороне KUMA:
- На сервере KUMA добавьте IP-адрес сервера Central Node в формате
<IP-адрес> kafka.services.external.dyn.kata
в один из следующих файлов:%WINDIR%\System32\drivers\etc\hosts
– для Windows./etc/hosts file
– для Linux.
- В веб-интерфейсе KUMA создайте коннектор типа Kafka.
При создании коннектора укажите следующие параметры:
- В поле URL укажите
<IP-адрес сервера Central Node>:10000
. - В поле Topic укажите
EndpointEnrichedEventsTopic
. - В поле Consumer group укажите любое уникальное имя.
- В поле URL укажите
- В веб-интерфейсе KUMA создайте коллектор.
В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора рекомендуется использовать нормализатор [OOTB] KEDR telemetry.
При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.