Автоматический запуск задач Kaspersky Security Center

Вы можете настроить автоматический запуск задачи обновления антивирусных баз и модулей программы и задачи антивирусной проверки на активах Kaspersky Security Center, подключенных к KUMA. На активах должны быть установлены программы Kaspersky Endpoint Security для Windows или Linux.

Предварительно вам нужно настроить интеграцию Kaspersky Security Center с KUMA и создать задачи в Kaspersky Security Center.

Настройка автоматического запуска задач Kaspersky Security Center включает следующие этапы:

Шаг 1. Добавление правила корреляции

Чтобы добавить правило корреляции:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Правила корреляции и нажмите на кнопку Добавить правило корреляции.
3. На вкладке Общие укажите следующие параметры:
   1. В поле Название укажите название правила.
   2. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
   3. В раскрывающемся списке Тип выберите simple.
   4. В поле Наследуемые поля добавьте следующие поля: DestinationAssetID.
   5. При необходимости укажите значения для следующих полей:
      • В поле Частота срабатывания укажите максимальное количество срабатываний правила в секунду.
      • В поле Уровень важности укажите уровень важности алертов и корреляционных событий, которые будут созданы в результате срабатывания правила.
      • В поле Описание укажите любую дополнительную информацию.
4. На вкладке Селекторы → Параметры выполните следующие действия:
   1. В раскрывающемся списке Фильтр выберите Создать.
   2. В поле Условия нажмите на кнопку Добавить группу.
   3. В поле с оператором для добавленной группы выберите И.
   4. Добавьте условие для фильтрации по значению поля DeviceProduct:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле события выберите DeviceProduct.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите KSC.
   5. Добавьте условие для фильтрации по значению поля Name:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле события выберите Name.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите имя события, при обнаружении которого вы хотите автоматически запускать задачу.

         Например, если вы хотите, чтобы задача Антивирусная проверка запускалась при регистрации событий Kaspersky Security Center Обнаружен вредоносный объект, вам нужно указать в поле значение это имя.

         Имя события можно посмотреть в поле Name в информации о событии.

5. На вкладке Действия укажите следующие параметры:
   1. В разделе Действия откройте раскрывающийся список На каждом событии.
   2. Установите флажок Отправить на дальнейшую обработку.

      Другие поля заполнять не требуется.

6. Нажмите на кнопку Сохранить.

Правило корреляции будет создано.

Шаг 2. Создание коррелятора

Вам нужно запустить мастер установки коррелятора. На шаге 3 мастера вам требуется выбрать правило корреляции, добавленное при выполнении этой инструкции.

В поле DeviceHostName должно отображаться доменное имя (FQDN) актива. Если оно не отображается, вам нужно создать запись для этого актива в системе DNS и на шаге 4 мастера создать правило обогащения с помощью DNS.

Шаг. 3. Добавление фильтра

Чтобы добавить фильтр:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Фильтры и нажмите на кнопку Добавить фильтр.
3. В поле Название укажите название фильтра.
4. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
5. В поле Условия нажмите на кнопку Добавить группу.
6. В поле с оператором для добавленной группы выберите И.
7. Добавьте условие для фильтрации по значению поля DeviceProduct:
   1. В поле Условия нажмите на кнопку Добавить условие.
   2. В поле с условием выберите Если.
   3. В поле Левый операнд выберите поле события.
   4. В поле события выберите Type.
   5. В поле оператор выберите =.
   6. В поле Правый операнд выберите константа.
   7. В поле значение введите 3.
8. Добавьте условие для фильтрации по значению поля Name:
   1. В поле Условия нажмите на кнопку Добавить условие.
   2. В поле с условием выберите Если.
   3. В поле Левый операнд выберите поле события.
   4. В поле события выберите Name.
   5. В поле оператор выберите =.
   6. В поле Правый операнд выберите константа.
   7. В поле значение введите имя правила корреляции, созданного на шаге 1.

Шаг 4. Добавление правила реагирования

Чтобы добавить правило реагирования:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Правила реагирования и нажмите на кнопку Добавить правило реагирования.
3. В поле Название укажите название правила.
4. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
5. В раскрывающемся списке Тип выберите Реагирование через KSC.
6. В раскрывающемся списке Задача Kaspersky Security Center выберите задачу Kaspersky Security Center, которую требуется запустить.
7. В раскрывающемся списке Поле события выберите DestinationAssetID.
8. В поле Рабочие процессы укажите количество процессов, которые сервис может запускать одновременно.

   По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис коррелятора.

• В поле Описание вы можете добавить до 4000 символов в кодировке Unicode.
• В раскрывающемся списке Фильтр выберите фильтр, добавленный на шаге 3 этой инструкции.

Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.

Если правила реагирования принадлежат общему тенанту, то в качестве доступных для выбора задач Kaspersky Security Center отображаются задачи от сервера Kaspersky Security Center, к которому подключен главный тенант.

Если в правиле реагирования выбрана задача, которая отсутствует на сервере Kaspersky Security Center, к которому подключен тенант, для активов этого тенанта задача не будет выполнена. Такая ситуация может возникнуть, например, когда два тенанта используют общий коррелятор.

Шаг 5. Добавление правила реагирования в коррелятор

Чтобы добавить правило реагирования в коррелятор:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Корреляторы.
3. В списке корреляторов выберите коррелятор, добавленный на шаге 2 этой инструкции.
4. В дереве шагов выберите Правила реагирования.
5. Нажмите на кнопку Добавить.
6. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 4 этой инструкции.
7. В дереве шагов выберите Проверка параметров.
8. Нажмите на кнопку Сохранить и перезапустить сервисы.
9. Нажмите на кнопку Сохранить.

Правило реагирования будет добавлено в коррелятор.

Автоматический запуск задачи обновления антивирусных баз и модулей программы или задачи антивирусной проверки на активах Kaspersky Security Center, подключенных к KUMA, будет настроен. Задачи запускаются при обнаружении угрозы на активах и получении KUMA соответствующих событий.