Kaspersky Unified Monitoring and Analysis Platform (KUMA)

A Kaspersky Endpoint Security é instalada em computadores individuais na infraestrutura de TI corporativa e monitoriza continuamente os processos, as ligações de rede abertas e os ficheiros que estão a ser modificados. As informações sobre eventos no computador (telemetria) são enviadas para o servidor Kaspersky Unified Monitoring and Analysis Platform (KUMA). O Kaspersky Endpoint Security também envia informações para o servidor KUMA sobre ameaças detetadas pela aplicação, bem como informações sobre os resultados de processamento destas ameaças. Na sua consola, o KUMA apresenta os eventos como uma lista sem marcação, semelhante ao registo de eventos do Windows. Para aceder a todas as funcionalidades do KUMA, é necessário adquirir uma licença e implementar a solução de acordo com o Guia de administrador do KUMA.

Integração com o KUMA

Para utilizar o KUMA, devem ser cumpridas as seguintes condições:

• Kaspersky Security Center versão 14.2 ou superior. Nas versões anteriores do Kaspersky Security Center, é impossível ativar a funcionalidade de integração do KUMA.
• A aplicação é ativada e a funcionalidade é abrangida pela licença.
• O componente de integração do KUMA está ativado.
• Os componentes da aplicação que oferecem suporte ao Kaspersky Unified Monitoring and Analysis Platform estão ativados e em execução. Os seguintes componentes asseguram o funcionamento do KUMA:
  • Proteção contra ameaças de ficheiros.
  • Proteção contra ameaças da Web.
  • Proteção contra ameaças de correio.
  • Prevenção de explorações.
  • Deteção de comportamento.
  • Prevenção contra invasões.
  • Motor de remediação.
  • Controlo de Anomalias Adaptativo.

A configuração da integração do KUMA envolve os seguintes passos:

1. Instalação do componente de integração do KUMA

   Pode selecionar o componente de integração KUMA durante a instalação ou atualização da aplicação, bem como através da tarefa Alterar componentes da aplicação.

   Tem de reiniciar o computador para terminar a atualização da aplicação com o novo componente.

2. Ativação KUMA

   Tem de adquirir uma licença que inclua o objeto de licença de telemetria XDR.

   A funcionalidade fica disponível depois de adicionar a chave KUMA separada. Como resultado, são adicionadas duas chaves no computador: uma chave para o Kaspersky Endpoint Security e uma chave para o Kaspersky Unified Monitoring and Analysis Platform (KUMA).

   A licença para a funcionalidade KUMA autónoma é a mesma que a licença do Kaspersky Endpoint Security.

   Certifique-se de que a funcionalidade KUMA é incluída na licença e está a funcionar na interface local da aplicação.

3. Ligação ao KUMA

   Para ligar o computador com a aplicação do Kaspersky Endpoint Security à solução KUMA:

   1. Na política do Kaspersky Endpoint Security, adicione endereços de servidor KUMA e especifique as definições de rede da ligação.
   2. Na consola KUMA, adicione um coletor com conectores do tipo tcp ou udp e especifique as definições básicas de rede da ligação. Para obter detalhes sobre a gestão de coletores, consulte a Ajuda do Kaspersky Unified Monitoring and Analysis Platform.

   É possível estabelecer uma ligação de confiança entre o Kaspersky Endpoint Security e os servidores KUMA. Para configurar uma ligação fiável, tem de utilizar um certificado TLS. Pode obter um certificado TLS no servidor KUMA Core (consulte as definições para o conector do tipo tcp na secção Ajuda do Kaspersky Unified Monitoring and Analysis Platform). Em seguida, tem de adicionar o certificado TLS ao Kaspersky Endpoint Security (consulte as instruções abaixo).

   Para tornar a ligação mais segura, também pode ativar a verificação do computador no KUMA (autenticação bidirecional). Para ativar esta verificação, tem de ativar a autenticação bidirecional nas definições do KUMA e do Kaspersky Endpoint Security. Para usar a autenticação bidirecional, também irá precisar de um cripto-contentor. Um cripto-contentor é um arquivo PFX com um certificado e uma chave privada. Tem de gerar um certificado com a chave privada no formato de contentor PKCS#12 numa autoridade de certificação externa. Depois tem de adicionar o arquivo PFX na consola KUMA e no Kaspersky Endpoint Security (consulte as definições para o conetor do tipo tcp na secção Ajuda do Kaspersky Unified Monitoring and Analysis Platform).

   Como ligar um computador do Kaspersky Endpoint Security ao KUMA usando a Consola de Administração (MMC)

   1. Abra a Consola de Administração do Kaspersky Security Center.
   2. Na árvore da consola, selecione Policies.
   3. Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
   4. Na janela de política, selecione Integração KUMA.
   5. Selecione a caixa de verificação Integração KUMA.
   6. Selecione o protocolo de ligação aos servidores KUMA: TCP, UDP.
   7. Adicione servidores KUMA. Para o fazer, especifique o endereço do servidor (IPv4, IPv6) e a porta para se ligar ao servidor.

      O Kaspersky Endpoint Security liga-se ao primeiro servidor KUMA da lista. Se a ligação falhar, o Kaspersky Endpoint Security liga-se ao segundo servidor KUMA da lista e assim por diante.

   8. Para o TCP, pode configurar uma ligação fiável. Para tal, clique no botão Definições para ligar aos servidores KUMA.
   9. Configure a ligação do servidor:
      • Tempo limite. Tempo limite máximo de resposta do servidor KUMA. Quando o tempo limite acaba, o Kaspersky Endpoint Security tenta ligar-se a um servidor KUMA diferente.
      • Certificado TLS do servidor. Certificado TLS para estabelecer uma ligação fiável com o servidor KUMA.

        Para estabelecer uma ligação de confiança, na consola KUMA, nas definições do conector tcp, tem de selecionar o modo TLS With verification (consulte as definições para o conetor de tipo tcp na Ajuda do Kaspersky Unified Monitoring and Analysis Platform).

      • Usar a autenticação bidirecional. Autenticação bidirecional ao estabelecer uma ligação segura entre o Kaspersky Endpoint Security e o KUMA. Para utilizar a autenticação bidirecional, na consola KUMA, nas definições do conetor tcp, tem de selecionar o modo TLS Custom PFX (consulte as definições para o conector de tipo tcp na Ajuda do Kaspersky Unified Monitoring and Analysis Platform). Em seguida, é necessário obter um contentor criptográfico e definir uma password para proteger o respetivo contentor. Um cripto-contentor é um arquivo PFX com um certificado e uma chave privada. Após configurar as definições do KUMA, é também necessário ativar a autenticação bidirecional nas definições do Kaspersky Endpoint Security e carregar um contentor criptográfico protegido por password.

        O cripto-contentor deve ser protegido por password. Não é possível adicionar um cripto-contentor com uma password em branco.

   10. Clique em OK.
   11. Se necessário, configure a definição Atraso máximo de transmissão de eventos (seg) no bloco Definições de transmissão de dados. Quando o tempo especificado termina, o Kaspersky Endpoint Security tenta ligar-se ao mesmo servidor ou liga-se ao servidor seguinte da lista, se existirem vários servidores. A predefinição é 30 segundos.
   12. Guarde as suas alterações.

   Como ligar um computador do Kaspersky Endpoint Security ao KUMA usando a Consola Web

   1. Na janela principal da Consola Web, selecione Devices → Policies & profiles.
   2. Clique no nome da política do Kaspersky Endpoint Security.

      É apresentada a janela de propriedades da política.

   3. Selecione o separador Application settings.
   4. Aceda à secção KUMA Integration.
   5. Ative o botão de alternar Ativar integração KUMA.
   6. Selecione o protocolo de ligação aos servidores KUMA: TCP, UDP.
   7. Adicione servidores KUMA. Para o fazer, especifique o endereço do servidor (IPv4, IPv6) e a porta para se ligar ao servidor.

      O Kaspersky Endpoint Security liga-se ao primeiro servidor KUMA da lista. Se a ligação falhar, o Kaspersky Endpoint Security liga-se ao segundo servidor KUMA da lista e assim por diante.

   8. Para o TCP, pode configurar uma ligação fiável. Para tal, clique no botão Settings for connecting to KUMA servers.
   9. Configure a ligação do servidor:
      • Timeout. Tempo limite máximo de resposta do servidor KUMA. Quando o tempo limite acaba, o Kaspersky Endpoint Security tenta ligar-se a um servidor KUMA diferente.
      • Server TLS certificate. Certificado TLS para estabelecer uma ligação fiável com o servidor KUMA.

        Para estabelecer uma ligação de confiança, na consola KUMA, nas definições do conector tcp, tem de selecionar o modo TLS With verification (consulte as definições para o conetor de tipo tcp na Ajuda do Kaspersky Unified Monitoring and Analysis Platform).

      • Use two-way authentication. Autenticação bidirecional ao estabelecer uma ligação segura entre o Kaspersky Endpoint Security e o KUMA. Para utilizar a autenticação bidirecional, na consola KUMA, nas definições do conetor tcp, tem de selecionar o modo TLS Custom PFX (consulte as definições para o conector de tipo tcp na Ajuda do Kaspersky Unified Monitoring and Analysis Platform). Em seguida, é necessário obter um contentor criptográfico e definir uma password para proteger o respetivo contentor. Um cripto-contentor é um arquivo PFX com um certificado e uma chave privada. Após configurar as definições do KUMA, é também necessário ativar a autenticação bidirecional nas definições do Kaspersky Endpoint Security e carregar um contentor criptográfico protegido por password.

        O cripto-contentor deve ser protegido por password. Não é possível adicionar um cripto-contentor com uma password em branco.

   10. Clique em OK.
   11. Se necessário, configure a definição Maximum events transmission delay (sec) no bloco Data transmission settings. Quando o tempo especificado termina, o Kaspersky Endpoint Security tenta ligar-se ao mesmo servidor ou liga-se ao servidor seguinte da lista, se existirem vários servidores. A predefinição é 30 segundos.
   12. Guarde as suas alterações.

Por conseguinte, o computador é adicionado à consola KUMA. Verifique o estado de funcionamento do componente, ao consultar o Application components status report. Pode também ver o estado de funcionamento de um componente em relatórios na interface local do Kaspersky Endpoint Security. O componente Integração KUMA será adicionado à lista de componentes do Kaspersky Endpoint Security.