Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Kaspersky Endpoint Security được cài đặt trên các máy tính cá nhân, trên cơ sở hạ tầng CNTT của doanh nghiệp và liên tục giám sát các quy trình, kết nối mạng mở và các tập tin đang được sửa đổi. Thông tin về các sự kiện trên máy tính (đo từ xa) được gửi đến máy chủ Kaspersky Unified Monitoring and Analysis Platform (KUMA). Kaspersky Endpoint Security cũng gửi thông tin đến máy chủ KUMA về các mối đe dọa được phát hiện bởi ứng dụng, bao gồm cả thông tin về kết quả xử lý các mối đe dọa này. Trong bảng điều khiển của mình, KUMA sẽ hiển thị các sự kiện dưới dạng danh sách không đánh dấu, tương tự như nhật ký sự kiện của Windows. Để truy cập tất cả chức năng của KUMA, bạn cần mua giấy phép và triển khai giải pháp theo Hướng dẫn dành cho quản trị viên KUMA.

Tích hợp với KUMA

Để sử dụng KUMA, cần đáp ứng các điều kiện sau:

• Kaspersky Security Center phiên bản 14.2 trở lên. Không thể kích hoạt chức năng tích hợp KUMA trong các phiên bản trước của Kaspersky Security Center.
• Ứng dụng được kích hoạt và chức năng được giấy phép hỗ trợ.
• Thành phần tích hợp KUMA được bật.
• Các thành phần ứng dụng cung cấp hỗ trợ Kaspersky Unified Monitoring and Analysis Platform đã được bật và đang chạy. Các thành phần sau đảm bảo hoạt động của KUMA:
  • Bảo vệ mối đe dọa tập tin.
  • Bảo vệ mối đe dọa web.
  • Bảo vệ mối đe dọa thư điện tử.
  • Phòng chống khai thác.
  • Phát hiện hành vi.
  • Phòng chống xâm nhập máy chủ.
  • Công cụ khắc phục.
  • Kiểm soát thích ứng sự cố.

Thiết lập tích hợp KUMA bao gồm các bước sau:

1. Cài đặt thành phần tích hợp KUMA

   Bạn có thể chọn thành phần tích hợp KUMA khi cài đặt hoặc nâng cấp ứng dụng, cũng như sử dụng tác vụ Thay đổi thành phần ứng dụng.

   Bạn phải khởi động lại máy tính của mình để hoàn tất việc nâng cấp ứng dụng với thành phần mới.

2. Kích hoạt KUMA

   Bạn phải mua một giấy phép bao gồm đối tượng cấp phép đo từ xa XDR.

   Chức năng này sẽ khả dụng sau khi thêm khóa KUMA riêng. Kết quả là hai khóa được thêm trên máy tính: một khóa dành cho Kaspersky Endpoint Security và một khóa dành cho Kaspersky Unified Monitoring and Analysis Platform (KUMA).

   Việc cấp giấy phép cho chức năng KUMA độc lập cũng giống như việc cấp giấy phép cho Kaspersky Endpoint Security.

   Đảm bảo rằng chức năng KUMA được gộp trong giấy phép và đang hoạt động trong giao diện cục bộ của ứng dụng.

3. Kết nối với KUMA

   Để kết nối máy tính có ứng dụng Kaspersky Endpoint Security với giải pháp KUMA:

   1. Trong chính sách của Kaspersky Endpoint Security, hãy thêm địa chỉ máy chủ KUMA và chỉ định thiết lập mạng của kết nối.
   2. Trong bảng điều khiển KUMA, hãy thêm bộ thu có bộ nối loại tcp hoặc udp và chỉ định thiết lập mạng cơ bản của kết nối. Để biết chi tiết về cách quản lý bộ thu, vui lòng tham khảo Trợ giúp của Kaspersky Unified Monitoring and Analysis Platform.

   Bạn có thể thiết lập kết nối được tin tưởng giữa máy chủ Kaspersky Endpoint Security và KUMA. Để cấu hình kết nối được tin tưởng, bạn phải sử dụng chứng chỉ TLS. Bạn có thể nhận chứng chỉ TLS trên máy chủ KUMA Core (xem thiết lập cho bộ nối loại tcp trong Trợ giúp của Kaspersky Unified Monitoring and Analysis Platform). Sau đó, bạn phải thêm chứng chỉ TLS vào Kaspersky Endpoint Security (xem hướng dẫn bên dưới).

   Để cho kết nối bảo mật hơn, bạn có thể kích hoạt thêm xác minh máy tính trong KUMA (xác thực hai chiều). Để bật cơ chế xác minh này, bạn phải bật xác thực hai chiều trong thiết lập KUMA và Kaspersky Endpoint Security. Để sử dụng xác thực hai chiều, bạn cũng sẽ cần một bộ chứa mã hóa. Một bộ chứa mã hóa là kho lưu trữ PFX có chứng chỉ và khóa riêng. Bạn phải tạo chứng chỉ bằng khóa riêng ở định dạng container PKCS#12 trong cơ quan cấp chứng chỉ bên ngoài. Sau đó, bạn phải thêm kho lưu trữ PFX vào bảng điều khiển KUMA và trong Kaspersky Endpoint Security (xem thiết lập cho bộ nối loại tcp trong Trợ giúp của Kaspersky Unified Monitoring and Analysis Platform).

   Cách kết nối máy tính Kaspersky Endpoint Security với KUMA bằng Bảng điều khiển quản trị (MMC)

   1. Mở Bảng điều khiển quản trị Kaspersky Security Center.
   2. Trong cây bảng điều khiển, hãy chọn Policies.
   3. Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
   4. Trong cửa sổ chính sách, hãy chọn Tích hợp KUMA.
   5. Chọn hộp kiểm Tích hợp KUMA.
   6. Chọn giao thức để kết nối với máy chủ KUMA: TCP, UDP.
   7. Thêm máy chủ KUMA. Để thực hiện, hãy chỉ định địa chỉ máy chủ (IPv4, IPv6) và cổng để kết nối với máy chủ.

      Kaspersky Endpoint Security sẽ kết nối với máy chủ KUMA đầu tiên trong danh sách. Nếu kết nối không thành công, Kaspersky Endpoint Security sẽ kết nối với máy chủ KUMA thứ hai trong danh sách, v.v.

   8. Đối với TCP, bạn có thể cấu hình kết nối được tin tưởng. Để làm điều này, nhấn vào nút Thiết lập để kết nối với máy chủ KUMA.
   9. Cấu hình kết nối máy chủ:
      • Thời gian chờ. Thời gian chờ phản hồi tối đa của máy chủ KUMA. Khi hết thời gian chờ, Kaspersky Endpoint Security sẽ cố gắng kết nối với một máy chủ KUMA khác.
      • Chứng chỉ TLS máy chủ. Chứng chỉ TLS để thiết lập kết nối được tin tưởng với máy chủ KUMA.

        Để thiết lập kết nối được tin tưởng, trong bảng điều khiển KUMA, trong thiết lập bộ nối tcp, bạn phải chọn chế độ TLS With verification (xem thiết lập cho bộ nối loại tcp trong Trợ giúp của Kaspersky Unified Monitoring and Analysis Platform).

      • Sử dụng xác thực hai chiều. Xác thực hai chiều khi thiết lập kết nối bảo mật giữa Kaspersky Endpoint Security và KUMA. Để sử dụng xác thực hai chiều, trong bảng điều khiển KUMA, trong thiết lập bộ nối tcp, bạn phải chọn chế độ TLS Custom PFX (xem thiết lập cho bộ nối loại tcp trong Trợ giúp của Kaspersky Unified Monitoring and Analysis Platform). Sau đó, bạn phải lấy một container mật mã và đặt mật khẩu để bảo vệ container mật mã. Một bộ chứa mã hóa là kho lưu trữ PFX có chứng chỉ và khóa riêng. Sau khi cấu hình thiết lập KUMA, bạn cũng cần bật xác thực hai chiều trong thiết lập của Kaspersky Endpoint Security và tải bộ chứa mã hóa được bảo vệ bằng mật khẩu.

        Bộ chứa mã hóa phải được bảo vệ bằng mật khẩu. Không thể thêm bộ chứa mã hóa có mật khẩu trống.

   10. Nhấn vào OK.
   11. Nếu cần, hãy cấu hình thiết lập Độ trễ truyền gửi sự kiện tối đa (giây) trong mục Thiết lập truyền dữ liệu. Khi hết thời gian được chỉ định, Kaspersky Endpoint Security sẽ cố gắng kết nối với cùng một máy chủ hoặc kết nối với máy chủ tiếp theo trong danh sách, nếu có nhiều máy chủ. Thiết lập mặc định là 30 giây.
   12. Lưu các thay đổi của bạn.

   Cách kết nối máy tính Kaspersky Endpoint Security với KUMA bằng Bảng điều khiển web

   1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & profiles.
   2. Nhấn vào tên của chính sách Kaspersky Endpoint Security.

      Cửa sổ thuộc tính chính sách sẽ được mở ra.

   3. Chọn thẻ Application settings.
   4. Vào mục KUMA Integration.
   5. Bật nút bật/tắt Bật tích hợp KUMA.
   6. Chọn giao thức để kết nối với máy chủ KUMA: TCP, UDP.
   7. Thêm máy chủ KUMA. Để thực hiện, hãy chỉ định địa chỉ máy chủ (IPv4, IPv6) và cổng để kết nối với máy chủ.

      Kaspersky Endpoint Security sẽ kết nối với máy chủ KUMA đầu tiên trong danh sách. Nếu kết nối không thành công, Kaspersky Endpoint Security sẽ kết nối với máy chủ KUMA thứ hai trong danh sách, v.v.

   8. Đối với TCP, bạn có thể cấu hình kết nối được tin tưởng. Để làm điều này, nhấn vào nút Settings for connecting to KUMA servers.
   9. Cấu hình kết nối máy chủ:
      • Timeout. Thời gian chờ phản hồi tối đa của máy chủ KUMA. Khi hết thời gian chờ, Kaspersky Endpoint Security sẽ cố gắng kết nối với một máy chủ KUMA khác.
      • Server TLS certificate. Chứng chỉ TLS để thiết lập kết nối được tin tưởng với máy chủ KUMA.

        Để thiết lập kết nối được tin tưởng, trong bảng điều khiển KUMA, trong thiết lập bộ nối tcp, bạn phải chọn chế độ TLS With verification (xem thiết lập cho bộ nối loại tcp trong Trợ giúp của Kaspersky Unified Monitoring and Analysis Platform).

      • Use two-way authentication. Xác thực hai chiều khi thiết lập kết nối bảo mật giữa Kaspersky Endpoint Security và KUMA. Để sử dụng xác thực hai chiều, trong bảng điều khiển KUMA, trong thiết lập bộ nối tcp, bạn phải chọn chế độ TLS Custom PFX (xem thiết lập cho bộ nối loại tcp trong Trợ giúp của Kaspersky Unified Monitoring and Analysis Platform). Sau đó, bạn phải lấy một container mật mã và đặt mật khẩu để bảo vệ container mật mã. Một bộ chứa mã hóa là kho lưu trữ PFX có chứng chỉ và khóa riêng. Sau khi cấu hình thiết lập KUMA, bạn cũng cần bật xác thực hai chiều trong thiết lập của Kaspersky Endpoint Security và tải bộ chứa mã hóa được bảo vệ bằng mật khẩu.

        Bộ chứa mã hóa phải được bảo vệ bằng mật khẩu. Không thể thêm bộ chứa mã hóa có mật khẩu trống.

   10. Nhấn vào OK.
   11. Nếu cần, hãy cấu hình thiết lập Maximum events transmission delay (sec) trong mục Data transmission settings. Khi hết thời gian được chỉ định, Kaspersky Endpoint Security sẽ cố gắng kết nối với cùng một máy chủ hoặc kết nối với máy chủ tiếp theo trong danh sách, nếu có nhiều máy chủ. Thiết lập mặc định là 30 giây.
   12. Lưu các thay đổi của bạn.

Kết quả là máy tính sẽ được thêm vào bảng điều khiển KUMA. Kiểm tra trạng thái hoạt động của thành phần bằng cách xem Application components status report. Bạn cũng có thể xem trạng thái hoạt động của một thành phần trong mục báo cáo trong giao diện cục bộ của Kaspersky Endpoint Security. Thành phần Tích hợp KUMA sẽ được thêm vào danh sách các thành phần của Kaspersky Endpoint Security.