Управление активами

Активы представляют собой компьютеры в организации. Вы можете добавить активы в KUMA, тогда KUMA будет автоматически добавлять идентификаторы активов при обогащении событий и при анализе событий вы получите дополнительную информацию о компьютерах в организации.

Вы можете добавить активы в KUMA следующими способами:

• Импортировать активы:
  • Из отчета MaxPatrol.
  • По расписанию: из Kaspersky Security Center и KICS for Networks.

    По умолчанию импорт активов выполняется каждые 12 часов, периодичность можно настроить. Также возможен импорт активов по запросу, при этом выполнение импорта по запросу не повлияет на время импорта по расписанию. KUMA импортирует из базы Kaspersky Security Center сведения об устройствах с установленным Kaspersky Security Center Network Agent, который подключался к Kaspersky Security Center, т.е. поле Connection time в базе SQL — непустое. KUMA импортирует следующие данные о компьютере: имя, адрес, время подключения к Kaspersky Security Center , информацию об оборудовании и программном обеспечении, включая операционную систему, а также об уязвимостях, то есть информацию, которая получена от агентов администрирования Kaspersky Security Center.

• Создать активы вручную через веб-интерфейс или с помощью API.

  Вы можете добавить активы вручную. При этом необходимо вручную указать следующие данные: адрес, FQDN, название и версия операционной системы, аппаратные характеристики. Добавление информации об уязвимостях активов через веб-интерфейс не предусмотрено. Вы можете указать информацию об уязвимостях, если будете добавлять активы с помощью API.

Вы можете управлять активами KUMA: просматривать информацию об активах, искать активы, добавлять активы, редактировать их и удалять, а также экспортировать данные о них в CSV-файл.

Категории активов

Вы можете разбить активы по категориям и затем использовать категории в условиях фильтров или правил корреляции. Например, можно создавать алерты более высокого уровня важности для активов из более критичной категории. По умолчанию все активы находятся в категории Активы без категории. Устройство можно добавить в несколько категорий.

По умолчанию KUMA категориям активов присвоены следующие уровни критичности: Low, Medium, High, Critical. Вы можете создать пользовательские категории и организовать вложенность. .

Категории можно наполнять следующими способами:

• Вручную
• Активно: динамически, если актив соответствует заданным условиям. Например, с момента перехода актива на указанную версию ОС или размещения актива в указанной подсети актив будет перемещен в заданную категорию.
  1. В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.

     Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.

  2. В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.

     Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять с помощью кнопок Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.

     Операнды и операторы фильтра категоризации

     Операнд	Операторы	Комментарий
     Номер сборки	>, >=, =, <=, <
     ОС	=, like	Оператор like обеспечивает регистронезависимый поиск.
     IP-адрес	inSubnet, inRange	IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24). При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.
     Полное доменной имя	=, like	Оператор like обеспечивает регистронезависимый поиск.
     CVE	=, in	Оператор in позволяет указать массив значений.
     ПО	=, like
     КИИ	in	Можно выбрать более одного значения.
     Последнее обновление антивирусных баз	>=,<=
     Последнее обновление информации	>=,<=
     Последнее обновление защиты	>=,<=
     Время начала последней сессии	>=,<=
     Расширенный статус KSC	in	Расширенный статус устройства. Можно выбрать более одного значения.
     Статус постоянной защиты	=	Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.
     Статус шифрования	=
     Статус защиты от спама	=
     Статус антивирусной защиты почтовых серверов	=
     Статус защиты данных от утечек	=
     Идентификатор расширенного статуса KSC	=
     Статус Endpoint Sensor	=
     Последнее появление в сети	>=,<=

  3. С помощью кнопки Проверить условия убедитесь, что указанный фильтр верен: при нажатии на кнопку отображается окно Активы, найденные по заданным условиям с перечнем активов, удовлетворяющих условиям поиска.
• Реактивно: при срабатывания корреляционного правила актив будет перемещаться в указанную группу.

В KUMA активы распределены по тенантам и категориям. Активы выстроены в древовидную структуру, где в корне находятся тенанты и от них ветвятся категории активов. Вы можете просмотреть дерево тенантов и категорий в разделе Активы → Все активы веб-интерфейса KUMA. Если выбрать узел дерева, в правой части окна отображаются активы, относящиеся к соответствующей категории. Активы из подкатегорий выбранной категории отображаются, если вы укажете, что хотите отображать активы рекурсивно. Вы можете выделить флажками тенанты, активы которых хотите просматривать.

Чтобы вызвать контекстное меню категории, наведите указатель мыши на категорию и нажмите на значок с многоточием, который появится справа от названия категории. В контекстном меню доступны следующие действия:

Действия, доступные в контекстном меню категории