Kaspersky Unified Monitoring and Analysis Platform (KUMA)

A Kaspersky Endpoint Security a vállalati IT-infrastruktúra egyes számítógépeire van telepítve, és folyamatosan figyeli a folyamatokat, a nyitott hálózati kapcsolatokat és a módosítás alatt álló fájlokat. A számítógépen zajló eseményekkel kapcsolatos információk (telemetria) elküldésre kerülnek a Kaspersky Unified Monitoring and Analysis Platform (KUMA) kiszolgálóra. Kaspersky Endpoint Security információkat küld a KUMA-kiszolgálónak az alkalmazás által észlelt fenyegetésekről, valamint az ilyen fenyegetések feldolgozási eredményeiről is. A konzolon a KUMA az eseményeket jelölés nélküli listaként jeleníti meg, hasonlóan a Windows eseménynaplójához. A KUMA összes funkciójának eléréséhez licencet kell vásárolnia, és a megoldást a KUMA rendszergazdai útmutatójának megfelelően kell telepítenie.

Integráció az KUMA-rel

A KUMA használatához az alábbi feltételeknek kell teljesülniük:

• Kaspersky Security Center 14.2 vagy újabb verzió. A Kaspersky Security Center korábbi verzióiban nem lehet aktiválni a KUMA-integráció funkcióját.
• Az alkalmazás aktiválva van, és a funkciójára a licenc kiterjed.
• A KUMA-integráció összetevője engedélyezve van.
• A Kaspersky Unified Monitoring and Analysis Platform támogatását biztosító alkalmazásösszetevők engedélyezve vannak és futnak. A KUMA működését a következő összetevők biztosítják:
  • Fájl védelem.
  • Web védelem.
  • Levelezés védelem.
  • Biztonsági rések kihasználásának megelőzése.
  • Viselkedésészlelés.
  • Behatolásmegelőző rendszer.
  • Kármentesítő motor.
  • Adaptív Anomáliafelügyelő.

A KUMA-integráció beállítása a következő lépésekből áll:

1. A KUMA-integráció összetevőjének telepítése

   A KUMA-integráció összetevőjét az alkalmazás telepítése vagy frissítése közben, valamint az Alkalmazásösszetevők módosítása feladat használatával választhatja ki.

   Újra kell indítania a számítógépét az alkalmazás új összetevővel történő frissítésének befejezéséhez.

2. KUMA aktiválás

   Olyan licencet kell vásárolnia, amely tartalmazza az XDR telemetria licencobjektumot.

   A funkció külön KUMA-kulcs hozzáadása után válik elérhetővé. Ennek eredményeképpen két kulcs kerül telepítésre a számítógépen: egy kulcs a Kaspersky Endpoint Security és egy kulcs a Kaspersky Unified Monitoring and Analysis Platform (KUMA) számára.

   Az önálló KUMA funkció licencelése megegyezik a Kaspersky Endpoint Security licencelésével.

   Győződjön meg arról, hogy az KUMA funkció szerepel a licencben, és jelenleg az alkalmazás helyi felületén működik.

3. A KUMA csatlakoztatása

   A Kaspersky Endpoint Security alkalmazással rendelkező számítógép csatlakoztatása a KUMA megoldáshoz:

   1. A Kaspersky Endpoint Security házirendjében vegye fel a KUMA-kiszolgáló címeit, és adja meg a kapcsolat hálózati beállításait.
   2. A KUMA konzolon adjon hozzá egy adatgyűjtőt tcp vagy udp típusú csatlakozóval, és adja meg a kapcsolat alapvető hálózati beállításait. Az adatgyűjtők kezelésével kapcsolatos részletekért olvassa el a Kaspersky Unified Monitoring and Analysis Platform súgóját.

   Megbízható kapcsolatot hozhat létre a Kaspersky Endpoint Security és a KUMA-kiszolgálók között. A megbízható kapcsolat konfigurálásához TLS-tanúsítványt kell használnia. A KUMA Core kiszolgálón TLS-tanúsítványt kaphat (lásd a tcp típusú csatlakozó beállításait a Kaspersky Unified Monitoring and Analysis Platform súgójában). Ezután hozzá kell adnia a TLS-tanúsítványt a Kaspersky Endpoint Security szolgáltatáshoz (lásd az alábbi utasításokat).

   A kapcsolat biztonságosabbá tétele céljából ezenkívül engedélyezheti a számítógép ellenőrzését a KUMA megoldásban (kétirányú hitelesítés). Az ellenőrzés engedélyezéséhez be kell kapcsolnia a kétirányú hitelesítést a KUMA és a Kaspersky Endpoint Security beállításaiban. A kétirányú hitelesítés használatához kriptotárolóra is szüksége lesz. A kriptotároló egy PFX archívum tanúsítvánnyal és privát kulccsal. A titkos kulcsot tartalmazó tanúsítványt PKCS#12 tárolóformátumban kell létrehoznia egy külső hitelesítésszolgáltatónál. Ezután hozzá kell adnia a PFX-archívumot a KUMA-konzolon és a Kaspersky Endpoint Security alkalmazásban (a tcp típusú csatlakozó beállításait a Kaspersky Unified Monitoring and Analysis Platform súgójában találja).

   A Kaspersky Endpoint Security alkalmazást futtató számítógép csatlakoztatása a KUMA megoldáshoz az adminisztrációs konzol (MMC) segítségével

   1. Nyissa meg a Kaspersky Security Center Adminisztrációs Konzolt.
   2. A konzolfán válassza ki a Policies lehetőséget.
   3. Válassza ki a szükséges rendszabályt, és kattintson duplán a házirend tulajdonságainak megnyitásához.
   4. A házirend ablakában válassza ki a KUMA integráció lehetőséget.
   5. Jelölje be a KUMA integráció jelölőnégyzetet.
   6. Válassza ki a KUMA-kiszolgálókhoz való csatlakozás protokollját: TCP, UDP.
   7. Adja hozzá a KUMA-kiszolgálókat. Ehhez adja meg a kiszolgáló címét (IPv4, IPv6) és a kiszolgálóhoz csatlakozó portot.

      A Kaspersky Endpoint Security a listán szereplő első KUMA-kiszolgálóhoz csatlakozik. Ha a kapcsolat sikertelen, a Kaspersky Endpoint Security a listán szereplő második KUMA-kiszolgálóhoz csatlakozik, és így tovább.

   8. A TCP esetében megbízható kapcsolatot konfigurálhat. Kattintson A KUMA kiszolgálóihoz való csatlakozás beállításai gombra.
   9. Konfigurálja a kiszolgálói kapcsolatot:
      • Timeout. A KUMA kiszolgálójának maximális válaszideje. Amikor lejár az időkorlát, a Kaspersky Endpoint Security megpróbál csatlakozni egy másik KUMA-kiszolgálóhoz.
      • Kiszolgálói TLS-tanúsítvány hibája. TLS-tanúsítvány a KUMA-kiszolgálóval való megbízható kapcsolat létrehozásához.

        A megbízható kapcsolat létrehozásához a KUMA-konzolon a tcp-csatlakozó beállításai között a With verification TLS módot kell kiválasztania (lásd a tcp típusú csatlakozó beállításait a Kaspersky Unified Monitoring and Analysis Platform súgójában).

      • Kétirányú hitelesítés használata. Kétirányú hitelesítés a Kaspersky Endpoint Security és a KUMA közötti biztonságos kapcsolat létrehozásakor. A kétirányú hitelesítés használatához a KUMA-konzolon a tcp-csatlakozó beállításai között a Custom PFX TLS módot kell kiválasztania (lásd a tcp típusú csatlakozó beállításait a Kaspersky Unified Monitoring and Analysis Platform súgójában). Ezután szereznie kell egy kriptokonténert, és be kell állítania egy jelszót a kriptokonténer védelmére. A kriptotároló egy PFX archívum tanúsítvánnyal és privát kulccsal. A KUMA beállításainak konfigurálása után engedélyeznie kell a kétirányú hitelesítést is a Kaspersky Endpoint Security beállításaiban, és be kell töltenie egy jelszóval védett kriptotárolót.

        A kriptotárolót jelszóval kell védeni. Üres jelszóval nem lehet kriptotárolót hozzáadni.

   10. Kattintson az OK gombra.
   11. Ha szükséges, konfigurálja a Maximális eseményátviteli idő (mp) beállítást az Adatátviteli beállítások részen. Amikor a megadott idő lejár, a Kaspersky Endpoint Security megpróbál csatlakozni ugyanahhoz a kiszolgálóhoz, vagy a listán következő kiszolgálóhoz, ha több kiszolgáló is van. Az alapértelmezett beállítás 30 másodperc.
   12. Mentse el a módosításokat.

   A Kaspersky Endpoint Security alkalmazást futtató számítógép csatlakoztatása a KUMA megoldáshoz a Web Console segítségével

   1. A Web Console fő ablakában válassza a Devices → Policies & profiles lehetőséget.
   2. Kattintson a Kaspersky Endpoint Security házirend nevére.

      Megnyílik a rendszabályok tulajdonságai ablak.

   3. Válassza ki az Application settings lapot.
   4. Nyissa meg a KUMA-integráció részt.
   5. Kapcsolja be a KUMA integráció engedélyezése kapcsolót.
   6. Válassza ki a KUMA-kiszolgálókhoz való csatlakozás protokollját: TCP, UDP.
   7. Adja hozzá a KUMA-kiszolgálókat. Ehhez adja meg a kiszolgáló címét (IPv4, IPv6) és a kiszolgálóhoz csatlakozó portot.

      A Kaspersky Endpoint Security a listán szereplő első KUMA-kiszolgálóhoz csatlakozik. Ha a kapcsolat sikertelen, a Kaspersky Endpoint Security a listán szereplő második KUMA-kiszolgálóhoz csatlakozik, és így tovább.

   8. A TCP esetében megbízható kapcsolatot konfigurálhat. Kattintson A KUMA kiszolgálóihoz való csatlakozás beállításai gombra.
   9. Konfigurálja a kiszolgálói kapcsolatot:
      • Timeout. A KUMA kiszolgálójának maximális válaszideje. Amikor lejár az időkorlát, a Kaspersky Endpoint Security megpróbál csatlakozni egy másik KUMA-kiszolgálóhoz.
      • Kiszolgálói TLS-tanúsítvány hibája. TLS-tanúsítvány a KUMA-kiszolgálóval való megbízható kapcsolat létrehozásához.

        A megbízható kapcsolat létrehozásához a KUMA-konzolon a tcp-csatlakozó beállításai között a With verification TLS módot kell kiválasztania (lásd a tcp típusú csatlakozó beállításait a Kaspersky Unified Monitoring and Analysis Platform súgójában).

      • Kétirányú hitelesítés használata. Kétirányú hitelesítés a Kaspersky Endpoint Security és a KUMA közötti biztonságos kapcsolat létrehozásakor. A kétirányú hitelesítés használatához a KUMA-konzolon a tcp-csatlakozó beállításai között a Custom PFX TLS módot kell kiválasztania (lásd a tcp típusú csatlakozó beállításait a Kaspersky Unified Monitoring and Analysis Platform súgójában). Ezután szereznie kell egy kriptokonténert, és be kell állítania egy jelszót a kriptokonténer védelmére. A kriptotároló egy PFX archívum tanúsítvánnyal és privát kulccsal. A KUMA beállításainak konfigurálása után engedélyeznie kell a kétirányú hitelesítést is a Kaspersky Endpoint Security beállításaiban, és be kell töltenie egy jelszóval védett kriptotárolót.

        A kriptotárolót jelszóval kell védeni. Üres jelszóval nem lehet kriptotárolót hozzáadni.

   10. Kattintson az OK gombra.
   11. Ha szükséges, konfigurálja a Maximális eseményátviteli idő (mp) beállítást az Adatátviteli beállítások részen. Amikor a megadott idő lejár, a Kaspersky Endpoint Security megpróbál csatlakozni ugyanahhoz a kiszolgálóhoz, vagy a listán következő kiszolgálóhoz, ha több kiszolgáló is van. Az alapértelmezett beállítás 30 másodperc.
   12. Mentse el a módosításokat.

Ennek eredményeképpen a számítógép a KUMA-konzolba kerül. Ellenőrizheti az összetevő működési állapotát az Application components status report megtekintésével. Az összetevők működési állapotát a Kaspersky Endpoint Security helyi felületén található jelentésekben is megtekintheti. A KUMA integráció összetevő hozzá lesz adva a Kaspersky Endpoint Security összetevők listájához.