Шаг 5. Реагирование
Это необязательный шаг мастера установки. В вкладке мастера установки Реагирование можно выбрать или создать правила реагирования с указанием, какие действия требуется выполнить при срабатывании правил корреляции. Правил реагирования может быть несколько. Их можно добавить с помощью кнопки Добавить или удалить с помощью кнопки .
Чтобы добавить в набор ресурсов существующее правило реагирования:
- Нажмите Добавить.
Откроется окно с параметрами правила реагирования.
- В раскрывающемся списке Правило реагирования выберите нужный ресурс.
Правило реагирования добавлено в набор ресурсов для коррелятора.
Чтобы создать в наборе ресурсов новое правило реагирования:
- Нажмите Добавить.
Откроется окно с параметрами правила реагирования.
- В раскрывающемся списке Правило реагирования выберите Создать.
- В раскрывающемся списке Тип выберите тип правила реагирования и заполните относящиеся к нему параметры:
- Реагирование через KSC – правила реагирования для автоматического запуска задач на активах Kaspersky Security Center. Например, вы можете настроить автоматический запуск антивирусной проверки или обновление базы данных.
Автоматический запуск задач выполняется при интеграции KUMA с Kaspersky Security Center. Задачи запускаются только на активах, импортированных из Kaspersky Security Center.
- Запуск скрипта – правила реагирования для автоматического запуска скрипта. Например, вы можете создать скрипт с командами, которые требуется выполнить на сервере KUMA при обнаружении выбранных событий.
Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts.
Пользователю
kuma
этого сервера требуются права на запуск скрипта. - Реагирование через KEDR – правила реагирования для автоматического создания правил запрета, запуска сетевой изоляции или запуска программы на активах Kaspersky Endpoint Detection and Response и Kaspersky Security Center.
Автоматические действия по реагированию выполняются при интеграции KUMA с Kaspersky Endpoint Detection and Response.
- Реагирование через KICS for Networks – правила реагирования для автоматического запуска задач в на активах KICS for Networks. Например, изменить статус актива в KICS for Networks.
Автоматический запуск задач выполняется при интеграции KUMA с KICS for Networks.
- Реагирование через Active Directory – правила реагирования для изменения прав пользователей Active Directory. Например, блокировать пользователя.
Запуск задач выполняется при интеграции с Active Directory.
- Реагирование через KSC – правила реагирования для автоматического запуска задач на активах Kaspersky Security Center. Например, вы можете настроить автоматический запуск антивирусной проверки или обновление базы данных.
- В поле Рабочие процессы укажите количество процессов, которые сервис может запускать одновременно.
По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
Поле не обязательно для заполнения.
- В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.
В набор ресурсов для коррелятора добавлено новое правило реагирования.
Перейдите к следующему шагу мастера установки.