Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Aplikacja Kaspersky Endpoint Security jest instalowana na pojedynczych komputerach w korporacyjnej infrastrukturze IT i cały czas monitoruje procesy, otwiera połączenia sieciowe i modyfikowane pliki. Informacje o zdarzeniach na komputerze (telemetria) są wysyłane na serwer Kaspersky Unified Monitoring and Analysis Platform (KUMA). Kaspersky Endpoint Security wysyła również informacje do serwera KUMA o zagrożeniach wykrytych przez aplikację oraz informacje o wynikach przetwarzania tych zagrożeń. W swojej konsoli KUMA wyświetla zdarzenia w postaci listy bez znaczników, podobnie jak dziennik zdarzeń Windows. Aby uzyskać dostęp do wszystkich funkcjonalności KUMA, należy zakupić licencję i wdrożyć rozwiązanie zgodnie z przewodnikiem administratora KUMA.

Integracja z KUMA

W celu użycia platformy KUMA spełnione muszą być następujące warunki:

• Kaspersky Security Center w wersji 14.2 lub nowszej. We wcześniejszych wersjach Kaspersky Security Center nie ma możliwości aktywowania funkcjonalności integracji platformy KUMA.
• Aplikacja jest aktywowana, a funkcjonalność jest objęta licencją.
• Komponent integracyjny KUMA jest włączony.
• Komponenty aplikacji zapewniające obsługę Kaspersky Unified Monitoring and Analysis Platform są włączone i działają. Działanie platformy KUMA zapewniają następujące komponenty:
  • Ochrona plików.
  • Ochrona WWW.
  • Ochrona poczty.
  • Ochrona przed exploitami.
  • Wykrywanie zachowań.
  • Ochrona przed włamaniami.
  • Silnik korygujący.
  • Adaptacyjna kontrola anomalii.

Konfiguracja integracji KUMA obejmuje następujące kroki:

1. Instalowanie komponentu integracyjnego KUMA

   Możesz wybrać komponent integracyjny KUMA podczas instalacji lub aktualizacji, a także przy użyciu zadania Zmiana składników aplikacji.

   Musisz ponownie uruchomić komputer, aby dokończyć aktualizację aplikacji o nowe komponenty.

2. Aktywacja KUMA

   Musisz zakupić licencję zawierającą obiekt licencji telemetrii XDR.

   Funkcjonalność staje się dostępna po dodaniu osobnego klucza KUMA. W rezultacie na komputerze dodane zostają dwa klucze: klucz dla Kaspersky Endpoint Security i klucz dla Kaspersky Unified Monitoring and Analysis Platform (KUMA).

   Zasady udzielania licencji dla funkcjonalności KUMA są takie same jak w przypadku udzielania licencji dla Kaspersky Endpoint Security.

   Upewnij się, że funkcja KUMA jest w licencji i jest uruchomiona w lokalnym interfejsie aplikacji.

3. Łączenie z KUMA

   W celu połączenia komputera z aplikacją Kaspersky Endpoint Security z rozwiązaniem KUMA:

   1. W zasadzie Kaspersky Endpoint Security dodaj adresy serwerów KUMA i określ ustawienia sieciowe połączenia.
   2. W konsoli KUMA dodaj poborcę ze złączami typu tcp lub udp oraz określ podstawowe ustawienia sieciowe połączenia. Szczegółowe informacje na temat zarządzania poborcami można znaleźć w pomocy platformy Kaspersky Unified Monitoring and Analysis Platform.

   Możesz nawiązać zaufane połączenie pomiędzy Kaspersky Endpoint Security a serwerami KUMA. Aby skonfigurować zaufane połączenie, musisz użyć certyfikatu TLS. Certyfikat TLS możesz uzyskać na serwerze KUMA Core (patrz ustawienia złącza typu tcp w pomocy platformy Kaspersky Unified Monitoring and Analysis Platform). Następnie musisz dodać certyfikat TLS do Kaspersky Endpoint Security (zobacz instrukcje poniżej).

   Aby połączenie było bezpieczniejsze, możesz dodatkowo włączyć weryfikację komputera na platformie KUMA (uwierzytelnianie dwukierunkowe). Aby włączyć tę weryfikację, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach platformy KUMA i Kaspersky Endpoint Security. Aby korzystać z uwierzytelniania dwukierunkowego, potrzebujesz również kontener kryptograficzny. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Należy wygenerować certyfikat z kluczem prywatnym w formacie kontenera PKCS#12 w zewnętrznym urzędzie certyfikacji. Następnie musisz dodać archiwum PFX w konsoli KUMA i w Kaspersky Endpoint Security (zobacz ustawienia złącza typu tcp w pomocy platformy Kaspersky Unified Monitoring and Analysis Platform).

   Jak połączyć komputer Kaspersky Endpoint Security z platformą KUMA przy użyciu Konsoli administracyjnej (MMC)

   1. Otwórz Konsolę administracyjną Kaspersky Security Center.
   2. W drzewie konsoli wybierz Zasady.
   3. Wybierz żądany profil i kliknij go dwukrotnie, aby otworzyć właściwości profilu.
   4. W oknie zasad, wybierz $IsKUMATelemetry ? "Integracja KUMA": "Integracja SIEM.
   5. Zaznacz pole $IsKUMATelemetry ? "Integracja KUMA": "Integracja SIEM.
   6. Wybierz protokół połączenia z serwerami KUMA: TCP, UDP.
   7. Dodaj serwery KUMA. W tym celu należy określić adres serwera (IPv4, IPv6) oraz port do połączenia z serwerem.

      Kaspersky Endpoint Security łączy się z pierwszym serwerem KUMA na liście. Jeśli połączenie nie powiedzie się, Kaspersky Endpoint Security połączy się z drugim serwerem KUMA na liście itd.

   8. W przypadku protokołu TCP można skonfigurować zaufane połączenie. W tym celu kliknij przycisk Ustawienia na potrzeby łączenia z serwerami KUMA.
   9. Skonfiguruj połączenie z serwerem:
      • Limit czasu. Maksymalny limit czasu odpowiedzi serwera KUMA. Po przekroczeniu limitu czasu Kaspersky Endpoint Security próbuje połączyć się z innym serwerem KUMA.
      • Certyfikat TLS serwera. Certyfikat TLS do nawiązania zaufanego połączenia z serwerem KUMA.

        Aby nawiązać zaufane połączenie, w konsoli KUMA w ustawieniach złącza tcp należy wybrać opcję tryb TLS With verification (patrz ustawienia złącza typu tcp w pomocy platformy Kaspersky Unified Monitoring and Analysis Platform).

      • Zastosuj uwierzytelnianie dwukierunkowe. Uwierzytelnianie dwukierunkowe podczas nawiązywania bezpiecznego połączenia między Kaspersky Endpoint Security a platformą KUMA. Aby skorzystać z uwierzytelniania dwukierunkowego, w konsoli KUMA w ustawieniach złącza tcp należy wybrać opcję trybu TLS Custom PFX (patrz ustawienia złącza typu tcp w pomocy platformy Kaspersky Unified Monitoring and Analysis Platform). Następnie musisz uzyskać kontener szyfrowania i ustawić hasło, aby chronić kontener szyfrowania. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Po skonfigurowaniu ustawień platformy KUMA należy również włączyć uwierzytelnianie dwukierunkowe w ustawieniach Kaspersky Endpoint Security i załadować chroniony hasłem kontener kryptograficzny.

        Kontener szyfrowania musi być zabezpieczony hasłem. Nie ma możliwości dodania kontenera szyfrowania z pustym hasłem.

   10. Kliknij OK.
   11. W razie potrzeby skonfiguruj ustawienie Maksymalne opóźnienie transmisji zdarzenia (s) w bloku Ustawienia przesyłania danych. Kiedy upłynie określony czas, Kaspersky Endpoint Security spróbuje połączyć się z tym samym serwerem lub połączy się z kolejnym serwerem na liście, jeśli istnieje wiele serwerów. Domyślnie ustawienie to 30 sekund.
   12. Zapisz swoje zmiany.

   Jak połączyć komputer Kaspersky Endpoint Security z platformą KUMA przy użyciu Web Console

   1. W oknie głównym Web Console wybierz Urządzenia → Profile zasad.
   2. Kliknij nazwę zasady Kaspersky Endpoint Security.

      Zostanie otwarte okno właściwości profilu.

   3. Wybierz zakładkę Ustawienia aplikacji.
   4. Przejdź do sekcji Integracja KUMA.
   5. Włącz przełącznik Włącz integrację KUMA.
   6. Wybierz protokół połączenia z serwerami KUMA: TCP, UDP.
   7. Dodaj serwery KUMA. W tym celu należy określić adres serwera (IPv4, IPv6) oraz port do połączenia z serwerem.

      Kaspersky Endpoint Security łączy się z pierwszym serwerem KUMA na liście. Jeśli połączenie nie powiedzie się, Kaspersky Endpoint Security połączy się z drugim serwerem KUMA na liście itd.

   8. W przypadku protokołu TCP można skonfigurować zaufane połączenie. W tym celu kliknij przycisk Ustawienia na potrzeby łączenia z serwerami KUMA.
   9. Skonfiguruj połączenie z serwerem:
      • Limit czasu. Maksymalny limit czasu odpowiedzi serwera KUMA. Po przekroczeniu limitu czasu Kaspersky Endpoint Security próbuje połączyć się z innym serwerem KUMA.
      • Certyfikat TLS serwera. Certyfikat TLS do nawiązania zaufanego połączenia z serwerem KUMA.

        Aby nawiązać zaufane połączenie, w konsoli KUMA w ustawieniach złącza tcp należy wybrać opcję tryb TLS With verification (patrz ustawienia złącza typu tcp w pomocy platformy Kaspersky Unified Monitoring and Analysis Platform).

      • Zastosuj uwierzytelnianie dwukierunkowe. Uwierzytelnianie dwukierunkowe podczas nawiązywania bezpiecznego połączenia między Kaspersky Endpoint Security a platformą KUMA. Aby skorzystać z uwierzytelniania dwukierunkowego, w konsoli KUMA w ustawieniach złącza tcp należy wybrać opcję trybu TLS Custom PFX (patrz ustawienia złącza typu tcp w pomocy platformy Kaspersky Unified Monitoring and Analysis Platform). Następnie musisz uzyskać kontener szyfrowania i ustawić hasło, aby chronić kontener szyfrowania. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Po skonfigurowaniu ustawień platformy KUMA należy również włączyć uwierzytelnianie dwukierunkowe w ustawieniach Kaspersky Endpoint Security i załadować chroniony hasłem kontener kryptograficzny.

        Kontener szyfrowania musi być zabezpieczony hasłem. Nie ma możliwości dodania kontenera szyfrowania z pustym hasłem.

   10. Kliknij OK.
   11. W razie potrzeby skonfiguruj ustawienie Maksymalne opóźnienie transmisji zdarzenia (s) w bloku Ustawienia przesyłania danych. Kiedy upłynie określony czas, Kaspersky Endpoint Security spróbuje połączyć się z tym samym serwerem lub połączy się z kolejnym serwerem na liście, jeśli istnieje wiele serwerów. Domyślnie ustawienie to 30 sekund.
   12. Zapisz swoje zmiany.

W efekcie komputer zostaje dodany w konsoli KUMA. Sprawdź stan działania komponentu, przeglądając Raport dotyczący stanu komponentów aplikacji. Stan działania komponentu można sprawdzić także w raportach, w lokalnym interfejsie Kaspersky Endpoint Security. Komponent Integracja KUMA zostanie dodany do listy komponentów Kaspersky Endpoint Security.