Настройка коллектора KUMA для получения событий с устройств Windows

После завершения настройки политики аудита на устройствах, а также создания подписок на события и предоставления всех необходимых прав, требуется создать коллектор в веб-интерфейсе KUMA для событий с устройств Windows.

Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.

Для получения событий от устройств Windows в мастере установки коллектора KUMA укажите следующие параметры коллектора:

  1. На шаге Транспорт укажите следующие параметры:
    1. В поле Коннектор выберите Создать.
    2. В поле Тип выберите http.
    3. В поле Разделитель выберите \0.
  2. На вкладке Дополнительные параметры в поле Режим TLS выберите С верификацией.
  3. На шаге Парсинг событий нажмите на кнопку Добавить парсинг событий.
  4. В открывшемся окне Основной парсинг событий в поле Нормализатор выберите [OOTB] Microsoft Products и нажмите ОК.
  5. На шаге Маршрутизация добавьте следующие точки назначения:
    • Хранилище. Для отправки обработанных событий в хранилище.
    • Коррелятор. Для отправки обработанных событий в коррелятор.

    Если точки назначения Хранилище и Коррелятор не добавлены, создайте их

  6. На шаге Проверка параметров нажмите Сохранить и создать сервис.
  7. Скопируйте появившуюся команду для установки коллектора KUMA.
В начало