Kaspersky Unified Monitoring and Analysis Platform

Шаг 5. Реагирование

Это необязательный шаг мастера установки. В закладке мастера установки Реагирование можно выбрать или создать ресурс правил реагирования с указанием, какие действия требуется выполнить при срабатывании правил корреляции. Правил реагирования может быть несколько. Их можно добавить с помощью кнопки Добавить или удалить с помощью кнопки cross.

Чтобы добавить в набор ресурсов существующее правило реагирования:

  1. Нажмите Добавить.

    Откроется окно с параметрами правила реагирования.

  2. В раскрывающемся списке Правило реагирования выберите нужный ресурс.

Правило реагирования добавлено в набор ресурсов для коррелятора.

Чтобы создать в наборе ресурсов новое правило реагирования:

  1. Нажмите Добавить.

    Откроется окно с параметрами правила реагирования.

  2. В раскрывающемся списке Правило реагирования выберите Создать.
  3. В раскрывающемся списке Тип выберите тип правила реагирования и заполните относящиеся к нему параметры:
    • ksctasks – правила реагирования для автоматического запуска задач на активах Kaspersky Security Center. Например, вы можете настроить автоматический запуск антивирусной проверки или обновление базы данных.

      Автоматический запуск задач выполняется при интеграции KUMA с Kaspersky Security Center. Задачи запускаются только на активах, импортированных из Kaspersky Security Center.

      Параметры реагирования типа ksctasks

    • script – правила реагирования для автоматического запуска скрипта. Например, вы можете создать скрипт с командами, которые требуется выполнить на сервере KUMA при обнаружении выбранных событий.

      Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts.

      Пользователю kuma этого сервера требуются права на запуск скрипта.

      Параметры реагирования типа script

    • kata/edr – правила реагирования для автоматического создания правил запрета, запуска сетевой изоляции или запуска программы на активах Kaspersky Endpoint Detection and Response и Kaspersky Security Center.

      Автоматические действия по реагированию выполняются при интеграции KUMA с Kaspersky Endpoint Detection and Response.

      Параметры реагирования типа kata/edr

    • kics – правила реагирования для автоматического запуска задач в на активах KICS for Networks. Например, изменить статус актива в KICS for Networks.

      Автоматический запуск задач выполняется при интеграции KUMA с KICS for Networks.

      Параметры реагирования типа kics

  • В поле Рабочие процессы укажите количество процессов, которые сервис может запускать одновременно.

    По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

    Поле не обязательно для заполнения.

  1. В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом правила реагирования. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.

    Создание фильтра в ресурсах

В набор ресурсов для коррелятора добавлено новое правило реагирования.

Перейдите к следующему шагу мастера установки.