Создание группы агентов

Чтобы создать группу агентов:

1. В главном меню перейдите в раздел Компоненты → Агенты.
2. В рабочей области нажмите на кнопку Добавить группу агентов.
3. На вкладке Общая информация выполните следующие действия:
   1. Заполните поля формы:
      • Введите название группы. В качестве названия группы для удобства управления агентами рекомендуется указывать имя кластера, на узлах которого будут установлены агенты.
      • Если требуется, введите описание группы агентов.
      • В раскрывающемся списке выберите одну или несколько областей применения, которые доступны роли пользователя. Если значение не указано, решение применяет установленную по умолчанию область применения.

        Если потребуется добавить какую-либо область применения после создания группы агентов, необходимо добавить соответствующий кластер в область применения в разделе Администрирование → Управление доступом → Области применения.

      • Выберите используемый оркестратор.
      • Укажите название пространства имен, которое будет использоваться для установки агентов.

        Пространство имен должно существовать на момент запуска агентов.

   2. В блоке Реестр введите веб-адрес реестра Kaspersky Security для контейнеров, где находятся образы, с которых производится установка агентов. Для доступа к реестру требуется указать имя пользователя и пароль, которые используются для этого реестра.
   3. В блоке Связанная SIEM-система из раскрывающегося списка выберите SIEM-систему.

      Для связывания группы агентов в Kaspersky Security для контейнеров необходимо создать и настроить хотя бы одну интеграцию с SIEM-системой.
      Одну группу агентов можно связать только с одной SIEM-системой.

      Для каждой интеграции с SIEM-системой в раскрывающемся списке указывается статус ее подключения – Успешно, С предупреждением или Ошибка.

4. На вкладке Мониторинг состояния узлов с помощью переключателя Выключить / Включить запустите действия по мониторингу и анализу состояния сети, процессов в контейнерах и защиты от файловых угроз для следующих параметров:
   • Сетевые соединения. Состояние сетевых соединений отслеживается с помощью устройств для фиксации сетевого трафика (сетевых мониторов) и модулей на базе технологии eBPF. При этом учитываются применимые политики среды выполнения и профили среды выполнения контейнеров.

     С помощью установки флажков вы можете активировать следующие действия по мониторингу:

     • Действия по мониторингу сетевой репутации.
     • Действия по мониторингу открытия портов.

     По умолчанию эти действия выключены.

   • Процессы в контейнерах. Процессы в контейнерах отслеживаются с помощью модулей на базе технологии eBPF, учитывая применимые политики среды выполнения и профили среды выполнения контейнеров.
   • Защита от файловых угроз. Если действия по защите от файловых угроз запущены, вы можете выбрать объекты, для которых будет включен мониторинг в рамках компонента Защита от файловых угроз: Все, Контейнеры или Узлы. По умолчанию мониторинг включен для всех объектов.

     Для отслеживания обновлений антивирусных баз необходимо указать одно из следующих значений:

     • URL инструмента обновлений антивирусных баз – веб-адрес сервера обновлений Kaspersky Security для контейнеров.
     • Прокси-сервер обновлений антивирусных баз – прокси-сервер HTTP для облачного или локального сервера обновлений.

     Если для обновления антивирусных баз используется контейнер kcs-updates, URL инструмента обновлений антивирусных баз требуется указать следующим образом: <домен>/kuu/updates (например, https://kcs.company.com/kuu/updates).

     По умолчанию базы данных компонента Защита от файловых угроз обновляются с помощью облачных серверов "Лаборатории Касперского".

   • Файловые операции. Решение отслеживает файловые операции с помощью модулей на базе технологии eBPF, учитывая применимые политики среды выполнения и профили среды выполнения контейнеров.

     Вне зависимости от режима, указанного в политике среды выполнения, для файловых операций поддерживается только режим Аудит. Если в применимой политике среды выполнения установлен режим Блокирование, файловые операции осуществляются в режиме Аудит.

   • Жизненный цикл контейнера. Решение осуществляет мониторинг изменений состояния контейнеров (их создание, запуск, остановку, удаление, приостановку и возобновление). Это позволяет отслеживать операции в отношении контейнеров на узле, которые выполняются в обход оркестратора.

     Вне зависимости от режима, указанного в политике среды выполнения, для мониторинга жизненного цикла контейнеров поддерживается только режим Аудит. Если в применимой политике среды выполнения установлен режим Блокирование, жизненный цикл контейнеров отслеживается в режиме Аудит.

   • Авторизация на хосте. Решение осуществляет мониторинг попыток входа локальных и удаленных пользователей в операционную систему хоста. Kaspersky Security для контейнеров отслеживает все попытки авторизации (успешные и безуспешные), а также определяет протокол, по которому осуществлялась попытка авторизации на хосте (SSH, TELNET, RDP).

   Ненужные действия в рамках процесса мониторинга можно выключить, чтобы избежать нецелесообразной нагрузки на узлы.

   По умолчанию все действия по мониторингу и анализу состояния сети, процессов в контейнерах и защиты от файловых угроз выключены.

5. Нажмите на кнопку Сохранить.

В рабочей области на вкладке Данные для установки агентов отобразятся следующие данные, необходимые для установки агентов на кластере:

• Автоматически сгенерированный токен для установки – это идентификатор, который будет использовать агент при подключении к серверу.
• Инструкция для установки агентов на кластере.

В начало