Импорт событий Kaspersky Endpoint Detection and Response

При импорте событий из Kaspersky Endpoint Detection and Response телеметрия передается открытым текстом и может быть перехвачена злоумышленником.

Вы можете импортировать в KUMA сырые события Kaspersky Endpoint Detection and Response 4.0 с помощью коннектора Kafka.

Для импорта событий вам потребуется выполнить действия на стороне Kaspersky Endpoint Detection and Response и KUMA.

На стороне Kaspersky Endpoint Detection and Response выполните следующие действия:

  1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
  2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.

    Отобразится меню администратора компонента программы.

  3. В меню администратора компонента программы выберите режим Technical Support Mode.
  4. Нажмите на клавишу Enter.

    Отобразится окно подтверждения входа в режим Technical Support Mode.

  5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
  6. Выполните команду sudo -i.
  7. В конфигурационном файле /etc/sysconfig/apt-services в поле KAFKA_PORTS удалите значение 10000.

    Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000.

    Настоятельно не рекомендуется использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP.

  8. Выполните команду systemctl restart apt_ipsec.service.
  9. В конфигурационном файле /usr/bin/apt-start-sedr-iptables в поле WEB_PORTS добавьте значение 10000 через запятую без пробела.
  10. Выполните команду sudo sh /usr/bin/apt-start-sedr-iptables.

Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.

На стороне KUMA выполните следующие действия:

  1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> centralnode в один из следующих файлов:
    • %WINDIR%\System32\drivers\etc\hosts – для Windows.
    • /etc/hosts file – для Linux.
  2. В веб-интерфейсе KUMA создайте коннектор типа kafka.

    При создании коннектора в поле URL укажите <IP-адрес сервера Central Node>:10000.

  3. В веб-интерфейсе KUMA создайте коллектор.

    В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге.

При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.

В начало