Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Руководство администратора

Интеграция с другими решениями

Интеграция с Kaspersky Endpoint Detection and Response

Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kafka

Kaspersky Unified Monitoring and Analysis Platform
Нет результатов
База знаний Онлайн-справка
FAQ Обзор решения Форум Запрос в поддержку Видео

Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kafka

05 апреля 2024

ID 234627

Скачать PDF

При импорте событий из Kaspersky Endpoint Detection and Response телеметрия передается открытым текстом и может быть перехвачена злоумышленником.

Вы можете импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.0, 4.1, 5.0 и 5.1 с помощью коннектора Kafka.

При импорте событий из Kaspersky Endpoint Detection and Response 4.0 и 4.1 действует ряд ограничений:

  • Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
  • Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.

Для импорта событий вам потребуется выполнить действия на стороне Kaspersky Endpoint Detection and Response и на стороне KUMA.

Импорт событий Kaspersky Endpoint Detection and Response 4.0 или 4.1

Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.0 или 4.1, выполните следующие действия:

На стороне Kaspersky Endpoint Detection and Response:

  1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
  2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.

    Отобразится меню администратора компонента программы.

  3. В меню администратора компонента программы выберите режим Technical Support Mode.
  4. Нажмите на клавишу Enter.

    Отобразится окно подтверждения входа в режим Technical Support Mode.

  5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
  6. Выполните команду:

    sudo -i

  7. В конфигурационном файле /etc/sysconfig/apt-services в поле KAFKA_PORTS удалите значение 10000.

    Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000.

    Мы не рекомендуем использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду:

    iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP

  8. В конфигурационном файле /usr/bin/apt-start-sedr-iptables в поле WEB_PORTS добавьте значение 10000 через запятую без пробела.
  9. Выполните команду:

    sudo sh /usr/bin/apt-start-sedr-iptables

Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.

На стороне KUMA:

  1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> centralnode в один из следующих файлов:
    • %WINDIR%\System32\drivers\etc\hosts – для Windows.
    • /etc/hosts file – для Linux.
  2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.

    При создании коннектора укажите следующие параметры:

    • В поле URL укажите <IP-адрес сервера Central Node>:10000.
    • В поле Topic укажите EndpointEnrichedEventsTopic.
    • В поле Consumer group укажите любое уникальное имя.
  3. В веб-интерфейсе KUMA создайте коллектор.

    В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора используйте [OOTB] KEDR telemetry.

При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.

Импорт событий Kaspersky Endpoint Detection and Response 5.0 и 5.1

При импорте событий из Kaspersky Endpoint Detection and Response 5.0 и 5.1 действует ряд ограничений:

  • Импорт событий доступен только для неотказоустойчивой версии Kaspersky Endpoint Detection and Response.
  • Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
  • Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.

Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 5.0 или 5.1, выполните следующие действия:

На стороне Kaspersky Endpoint Detection and Response:

  1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
  2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.

    Отобразится меню администратора компонента программы.

  3. В меню администратора компонента программы выберите режим Technical Support Mode.
  4. Нажмите на клавишу Enter.

    Отобразится окно подтверждения входа в режим Technical Support Mode.

  5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
  6. В конфигурационном файле /usr/local/lib/python3.8/dist-packages/firewall/create_iptables_rules.py укажите дополнительный порт 10000 для константы WEB_PORTS:

    WEB_PORTS = f'10000,80,{AppPort.APT_AGENT_PORT},{AppPort.APT_GUI_PORT}'

    Для версии Kaspersky Endpoint Detection and Response 5.1 этот шаг выполнять не нужно, порт указан по умолчанию.

  7. Выполните команды:

    kata-firewall stop

    kata-firewall start --cluster-subnet <маска сети для адресации серверов кластера>

Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.

На стороне KUMA:

  1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> kafka.services.external.dyn.kata в один из следующих файлов:
    • %WINDIR%\System32\drivers\etc\hosts – для Windows.
    • /etc/hosts file – для Linux.
  2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.

    При создании коннектора укажите следующие параметры:

    • В поле URL укажите <IP-адрес сервера Central Node>:10000.
    • В поле Topic укажите EndpointEnrichedEventsTopic.
    • В поле Consumer group укажите любое уникальное имя.
  3. В веб-интерфейсе KUMA создайте коллектор.

    В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора рекомендуется использовать нормализатор [OOTB] KEDR telemetry.

При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!