Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Руководство администратора

Сервисы KUMA

Создание агента

Передача в KUMA событий из изолированных сегментов сети

Kaspersky Unified Monitoring and Analysis Platform
Нет результатов
База знаний Онлайн-справка
FAQ Обзор решения Форум Запрос в поддержку Видео

Передача в KUMA событий из изолированных сегментов сети

05 апреля 2024

ID 232930

Скачать PDF

Схема передачи данных

С помощью диодов данных можно передавать события из изолированных сегментов сети в KUMA. Передача данных организована следующим образом:

  1. Установленный на изолированном сервере агент KUMA с точкой назначения diode принимает события и перемещает их в директорию, из которой события заберет диод данных.

    Агент накапливает события в буфере до его переполнения или в течение заданного пользователем срока после последней записи на диск. Затем события записываются в файл во временной директории агента. Файл перемещается в директорию, обрабатываемую диодом данных; в качестве его названия используется хеш-сумма (SHA-256) содержимого файла и время создания файла.

  2. Диод данных перемещает файлы из директории изолированного сервера в директорию внешнего сервера.
  3. Установленный на внешнем сервере коллектор KUMA с коннектором diode считывает и обрабатывает события из файлов той директории, в которой размещает файлы диод данных.

    После считывания из файла всех событий он автоматически удаляется. Перед считыванием событий происходит верификация содержимого файлов по хеш-сумме в названии файла. Если содержимое не проходит верификацию, файл удаляется.

В указанной выше схеме компоненты KUMA отвечают за перемещение событий в определенную директорию внутри изолированного сегмента и за прием событий из определенной директории во внешнем сегменте сети. Перемещение файлов с событиями из директории изолированного сегмента сети в директорию внешнего сегменте сети осуществляет диод данных.

Для каждого источника данных внутри изолированного сегмента сети необходимо создать свой агент и коллектор KUMA, а также настроить диод данных на работу с отдельными директориями.

Настройка компонентов KUMA

Настройка компонентов KUMA для передачи данных из изолированных сегментов сети состоит из следующих этапов:

  1. Создание сервиса коллектора во внешнем сегменте сети.

    На этом этапе необходимо создать и установить коллектор для получения и обработки файлов, которые диод данных будет перемещать из изолированного сегмента сети. Создать коллектор и все требуемые для него ресурсы можно с помощью мастера установки коллектора.

    На шаге Транспорт требуется выбрать или создать коннектор типа diode. В коннекторе необходимо указать директорию, в которую диод данных будет перемещать файлы из изолированного сегмента сети.

    Пользователь kuma, под которым работает коллектор, должен иметь права на чтение, запись и удаление в директории, в которую диод данных перемещает данные из изолированного сегмента сети.

  2. Создание набора ресурсов агента KUMA.

    На этом этапе необходимо создать набор ресурсов агента KUMA, который будет в изолированном сегменте сети получать события и подготавливать их для передачи диоду данных. Набор ресурсов diode-агента имеет следующие особенности:

    • Точка назначения в агенте должна иметь тип diode. В этом ресурсе необходимо указать директорию, из которой диод данных будет перемещать файлы во внешний сегмент сети.
    • Для diode-агента невозможно выбрать коннекторы типа sql или netflow.
    • В коннекторе diode-агента должен быть выключен режим TLS.
  3. Скачивание конфигурационного файла агента в виде JSON-файла.
    1. Набор ресурсов агента с точкой назначения типа diode необходимо скачать в виде JSON-файла.
    2. Если в наборе ресурсов агента использовались ресурсы секретов, конфигурационный файл необходимо вручную дополнить данными секретов.
  4. Установка сервиса агента KUMA в изолированном сегменте сети.

    На этом этапе необходимо установить агент в изолированном сегменте сети на основе конфигурационного файла агента, созданного на предыдущем этапе. Установка возможна на устройствах Linux и Windows.

Настройка диода данных

Диод данных необходимо настроить следующим образом:

  • Данные необходимо передавать атомарно из директории изолированного сервера (куда их помещает агент KUMA) в директорию внешнего сервера (где их считывает коллектор KUMA).
  • Переданные файлы необходимо удалять с изолированного сервера.

Сведения о настройке диода данных можно получить в документации используемого в вашей организации диода данных.

Особенности работы

При работе с изолированными сегментами сети не поддерживаются работа с SQL и NetFlow.

При использовании указанной выше схемы невозможно администрирование агента через веб-интерфейс KUMA, поскольку он располагается в изолированном сегменте сети. В списке активных сервисов KUMA такие агенты не отображаются.

В этом разделе

Конфигурационный файл diode-агента

Описание полей секретов

Установка Linux-агента в изолированном сегменте сети

Установка Windows-агента в изолированном сегменте сети

См. также:

Об агентах

Коллектор

Наборы ресурсов для сервисов

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!