Integratie van Kaspersky Endpoint Security met KUMA

Voor het gebruik van KUMA moet aan de volgende voorwaarden worden voldaan:

Kaspersky Security Center versie 14.2 of hoger. In eerdere versies van Kaspersky Security Center is het onmogelijk om de KUMA-functionaliteit te activeren.
Het programma is geactiveerd en de functionaliteit valt onder de licentie.
Het onderdeel KUMA-integratie wordt ingeschakeld.

Het opzetten van KUMA-integratie omvat de volgende stappen:

Het onderdeel KUMA-integratie installeren
U kunt het onderdeel KUMA-inegratie selecteren tijdens: installeren of upgraden van het programma, alsook tijdens het gebruik van de taak Programmaonderdelen wijzigen.

U moet uw computer opnieuw opstarten om de upgrade van het programma met het nieuwe onderdeel te voltooien.
KUMA-activering
Naast een Kaspersky Endpoint Security programmalicentie (bijvoorbeeld Kaspersky Endpoint Security for Business Standard), heeft u een aparte licentie nodig voor de integratie van Kaspersky Endpoint Security met KUMA (Kaspersky Endpoint Security for Windows KUMA Integration Add-on).

Als u het programma in de EDR Agent-modus installeert, hebt u een licentie nodig voor de integratie van Kaspersky Endpoint Security met KUMA en een Kaspersky Anti Targeted Attack Platform (KATA)-licentie of een Kaspersky Managed Detection and Response (MDR)-licentie. U kunt EDR Agent niet alleen voor KUMA implementeren.

De functionaliteit komt beschikbaar na het toevoegen van de afzonderlijke KUMA-sleutel. Als gevolg hiervan zal er nog een actieve licentie op de computer aanwezig zijn voor de integratie van Kaspersky Endpoint Security met KUMA.

Licenties voor de zelfstandige KUMA-functionaliteit zijn hetzelfde als de licenties van Kaspersky Endpoint Security.

Zorg ervoor dat de KUMA-functionaliteit is inbegrepen in de licentie en werkt in de lokale interface van het programma.
Verbinding maken met KUMA
Om de computer met de Kaspersky Endpoint Security-programma te verbinden met de KUMA-oplossing:
1. Voeg in het Kaspersky Endpoint Security-beleid KUMA-serveradressen toe en geef de netwerkinstellingen van de verbinding op.
2. Voeg in de KUMA-console een collector toe met connectoren van het type tcp of udp en geef de basisnetwerkinstellingen van de verbinding op. Raadpleeg de Help van Kaspersky Unified Monitoring and Analysis Platform voor meer informatie over het beheren van verzamelprogramma's.
U kunt een vertrouwde verbinding tot stand brengen tussen Kaspersky Endpoint Security en KUMA-servers. Gebruik een TLS-certificaat om een vertrouwde verbinding te configureren. U kunt een TLS-certificaat krijgen op de KUMA Core-server (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform). Vervolgens moet u het TLS-certificaat toevoegen aan Kaspersky Endpoint Security (zie onderstaande instructies).

Om de verbinding veiliger te maken, kunt u bovendien de verificatie van de computer op KUMA (twee-weg verificatie) inschakelen. Als u deze verificatie wilt inschakelen, moet u twee-weg verificatie inschakelen in de instellingen KUMA en Kaspersky Endpoint Security. Om twee-weg verificatie te gebruiken hebt u ook een crypto-container nodig. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U moet een certificaat genereren met de persoonlijke sleutel in de containerformaat PKCS#12 bij een externe certificeringsinstantie. Vervolgens moet u het PFX-archief toevoegen in de KUMA-console en in Kaspersky Endpoint Security (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform).

Een Kaspersky Endpoint Security-computer verbinden met KUMA via de Beheerconsole (MMC)
1. Selecteer Policies in de structuur van de Beheerconsole van Kaspersky Security Center.
2. Selecteer het noodzakelijke beleid en dubbelklik om de beleidseigenschappen te openen.
3. Selecteer in het beleidsvenster KUMA-integratie.
4. Selecteer het selectievakje KUMA-integratie.
5. Schakel in het blok Integratie instellingen het selectievakje $IsKUMATelemetry ? "Overdracht van Windows-evenementen naar een KUMA-server inschakelen": "Overdracht van Windows-evenementen naar een SIEM-server inschakelen in.
6. Schakel indien nodig het selectievakje in naast Gebruik TLS-encryptie in het blok Instellingen om met KUMA-servers te verbinden.
7. Configureer de vertrouwde verbinding:
  1. Klik op Instellingen om met KUMA-servers te verbinden.
  2. Configureer de serververbinding:
    - Time-out (sec.). Maximale time-out voor de serverrespons van KUMA. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere KUMA-server.
    - Server TLS certificaat. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de KUMA-server. U kunt een TLS-certificaat verkrijgen in de console van Kaspersky Unified Monitoring and Analysis Platform (zie de instructies in Kaspersky Unified Monitoring and Analysis Platform).
      Om een vertrouwde verbinding tot stand te brengen, moet u in de KUMA-console, in de instellingen van de tcp-connector, de With verification TLS-modus (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform).
    - Gebruik twee-weg verificatie. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en KUMA. Om tweerichtingsverificatie te gebruiken, moet u in de KUMA-console, in de instellingen van de tcp-connector, de Custom PFX TLS-modus (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform). Dan moet u een cryptocontainer aanschaffen en een wachtwoord instellen om de cryptocontainer te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. Na het configureren van de KUMA-instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.
      De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord.
  3. Klik op OK.
8. Voeg KUMA-servers toe:
  1. Klik op Toevoegen.
    Hiermee opent u het formulier waarin u een KUMA-server kunt toevoegen.
  2. Selecteer het protocol om verbinding te maken met KUMA-servers: HTTP / HTTPS, TCP, UDP.
    Als u de HTTP / HTTPS protocol selecteert gebruikt het programma standaard HTTPS voor de verbinding met KUMA-servers. Als u HTTP wilt gebruiken, moet u dit protocol handmatig opgeven in het serveradres (bijvoorbeeld http://server.com).
  3. Voer het serveradres (IPv4, IPv6) en de poort in om verbinding te maken met de server.
  4. Klik op OK.
  Kaspersky Endpoint Security maakt verbinding met de eerste KUMA-server in de lijst. Als de verbinding mislukt, maakt Kaspersky Endpoint Security verbinding met de tweede KUMA-server in de lijst, enzovoort.
9. Configureer indien nodig de instelling Maximale vertraging gebeurtenisoverdracht (sec) in het blok Data-overdrachtsinstellingen. Wanneer de opgegeven tijd om is, probeert Kaspersky Endpoint Security verbinding te maken met dezelfde server of maakt verbinding met de volgende server in de lijst als er meerdere servers zijn. De standaardinstelling is 30 seconden.
10. Sla uw wijzigingen op.
Een Kaspersky Endpoint Security-computer verbinden met KUMA via de webconsole
1. Selecteer in het hoofdvenster van de webconsole achtereenvolgens Assets (Devices) → Policies & profiles.
2. Klik op de naam van het Kaspersky Endpoint Security-beleid.
  U ziet nu het venster met de beleidseigenschappen.
3. Selecteer het tabblad Application settings.
4. Ga naar Built-in Agents Configuration → KUMA Integration.
5. Zet de schakelaar KUMA Integration ENABLED aan.
6. Schakel indien nodig de optie Use TLS encryption in bij de instellingen voor de Server connection settings.
7. Configureer de vertrouwde verbinding:
  1. Klik op Connection settings.
  2. Configureer de serververbinding:
    - Timeout (sec). Maximale time-out voor de serverrespons van KUMA. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere KUMA-server.
    - Server TLS certificate. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de KUMA-server. U kunt een TLS-certificaat verkrijgen in de console van Kaspersky Unified Monitoring and Analysis Platform (zie de instructies in Kaspersky Unified Monitoring and Analysis Platform).
      Om een vertrouwde verbinding tot stand te brengen, moet u in de KUMA-console, in de instellingen van de tcp-connector, de With verification TLS-modus (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform).
    - Use two-way authentication. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en KUMA. Om tweerichtingsverificatie te gebruiken, moet u in de KUMA-console, in de instellingen van de tcp-connector, de Custom PFX TLS-modus (zie de instellingen voor de tcp-type connector in de Hulp bij Kaspersky Unified Monitoring and Analysis Platform). Dan moet u een cryptocontainer aanschaffen en een wachtwoord instellen om de cryptocontainer te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. Na het configureren van de KUMA-instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.
      De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord.
  3. Klik op OK.
8. Voeg KUMA-servers toe:
  1. Klik op Add.
    Hiermee opent u het formulier waarin u een KUMA-server kunt toevoegen.
  2. Selecteer het protocol om verbinding te maken met KUMA-servers: HTTP / HTTPS, TCP, UDP.
    Als u de HTTP / HTTPS protocol selecteert gebruikt het programma standaard HTTPS voor de verbinding met KUMA-servers. Als u HTTP wilt gebruiken, moet u dit protocol handmatig opgeven in het serveradres (bijvoorbeeld http://server.com).
  3. Voer het serveradres (IPv4, IPv6) en de poort in om verbinding te maken met de server.
  4. Klik op OK.
  Kaspersky Endpoint Security maakt verbinding met de eerste KUMA-server in de lijst. Als de verbinding mislukt, maakt Kaspersky Endpoint Security verbinding met de tweede KUMA-server in de lijst, enzovoort.
9. Configureer indien nodig de instelling Maximum delay when sending events (sec) in het blok Server connection settings. Wanneer de opgegeven tijd om is, probeert Kaspersky Endpoint Security verbinding te maken met dezelfde server of maakt verbinding met de volgende server in de lijst als er meerdere servers zijn. De standaardinstelling is 30 seconden.
10. Sla uw wijzigingen op.
U kunt controleren of de KUMA-integratie correct is geconfigureerd in de KUMA-console (voor meer informatie zie Kaspersky Unified Monitoring and Analysis Platform Help). Controleer de werkingsstatus van het onderdeel door het Report on status of application components in de Kaspersky Security Center-console te bekijken. U kunt de werkingsstatus van een onderdeel ook in rapporten bekijken in de lokale interface van Kaspersky Endpoint Security. Het onderdeel KUMA-integratie wordt toegevoegd aan de lijst met Kaspersky Endpoint Security-onderdelen.
Het verzenden van telemetrie naar de KUMA-server inschakelen
Standaard is het verzenden van gebeurtenissen naar de KUMA-server uitgeschakeld. Om ervoor te zorgen dat KUMA correct werkt, moet u de verzending van telemetrie inschakelen. U kunt een gebeurtenisbron selecteren uit de standaardlogboeken: Application, Security or System.

Het verzenden van telemetrie naar de KUMA-server inschakelen in de Beheerconsole (MMC)
1. Open de Beheerconsole van Kaspersky Security Center.
2. Selecteer in de beheerconsole Policies.
3. Selecteer het noodzakelijke beleid en dubbelklik om de beleidseigenschappen te openen.
4. Selecteer Algemene instellingen → Uitzonderingen en objecttypen in het beleidsvenster.
5. In het blok Telemetrie-instellingen → KUMA-telemetrie, klikt u op de knop Instellingen.
6. Selecteer gebeurtenislogboeken die u als gebeurtenisbronnen wilt gebruiken: Application, Security of System.
  Naast standaardlogboeken kunt u een log van een programma van derden.
7. Om het beleid op computers toe te passen, sluit het hangslot-pictogram en sla uw wijzigingen op.
Verzenden van telemetriegegevens naar de KUMA-server in de Webconsole inschakelen
1. Selecteer in het hoofdvenster van de Webconsole het tabblad Assets (Devices) → Policies & profiles.
2. Klik op de naam van het Kaspersky Endpoint Security-beleid.
  U ziet nu het venster met de beleidseigenschappen.
3. Selecteer het tabblad Application settings.
4. Ga naar General Settings → Telemetry Settings.
5. Selecteer het tabblad KUMA telemetry.
6. Selecteer gebeurtenislogboeken die u als gebeurtenisbronnen wilt gebruiken: Application, Security of System.
  Naast standaardlogboeken kunt u een log van een programma van derden.
7. Om het beleid op computers toe te passen, sluit het hangslot-pictogram en sla uw wijzigingen op.

Naar boven