Создание агента

Агент KUMA состоит из двух частей: одна часть создается внутри веб-интерфейса KUMA, а вторая устанавливается на сервере или устройстве сетевой инфраструктуры.

Создание агента производится в несколько этапов:

1. Создание набора ресурсов агента в веб-интерфейсе KUMA
2. Создание сервиса агента в веб-интерфейсе KUMA
3. Установка серверной части агента на устройстве, с которого требуется передавать сообщения

Агент KUMA для устройств Windows может быть создан автоматически при создании коллектора с типом транспорта wmi или wec. Набор ресурсов и сервис таких агентов создаются в мастере установки коллектора, однако их все равно требуется установить на устройстве, с которого требуется передать сообщение.

Создание набора ресурсов для агента

Сервис агента в веб-интерфейсе KUMA создается на основе набора ресурсов для агента, в котором объединяются коннекторы и точки назначения.

Чтобы создать набор ресурсов для агента в веб-интерфейсе KUMA:

1. В веб-интерфейсе KUMA в разделе Ресурсы → Агенты нажмите Добавить агент.

   Откроется окно создания агента с активной закладкой Общие параметры.

2. Заполните параметры в закладке Общие параметры:
   • В поле Название агента введите уникальное имя создаваемого сервиса. Название должно содержать от 1 до 128 символов Юникода.
   • В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать хранилище.
   • При необходимости установите флажок Отладка, чтобы включить логирование операций сервиса.
   • В поле Описание можно добавить описание сервиса: до 256 символов Юникода.
3. Создайте подключение для агента с помощью кнопки и переключитесь на добавленную закладку Подключение <номер>.

   Закладки можно удалять с помощью кнопки .

4. В блоке параметров Коннектор добавьте ресурс коннектора:
   • Если хотите выбрать существующий ресурс, выберите его в раскрывающемся списке.
   • Если хотите создать новый ресурс, выберите в раскрывающемся списке Создать и укажите его параметры:
     • В поле Название укажите имя коннектора. Название должно содержать от 1 до 128 символов Юникода.
     • В раскрывающемся списке Тип выберите тип коннектора и укажите его параметры в закладках Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа коннектора:
       • tcp
       • udp
       • nats
       • kafka
       • http
       • file
       • ftp
       • nfs
       • wmi
       • wec
       • snmp

       Типом агента считается тип использованного в нем коннектора. Исключением являются агенты с точкой назначения типа diode: такие агенты считаются diode-агентами.

       При использовании типа коннектора tcp или upd на этапе нормализации в поле событий DeviceAddress, если оно пустое, будут записаны IP-адреса устройств, с которых были получены события.

   • В поле Описание можно добавить описание ресурса: до 256 символов Юникода.

   Ресурс коннектора добавлен в выбранное подключение набора ресурсов агента. Созданный ресурс доступен только в этом наборе ресурсов и не отображается в разделе веб-интерфейса Ресурсы → Коннекторы.

5. В блоке параметров Точки назначения добавьте ресурсы точек назначения.
   • Если хотите выбрать существующий ресурс, выберите его в раскрывающемся списке.
   • Если хотите создать новый ресурс, выберите в раскрывающемся списке Создать и укажите его параметры:
     • В поле Название укажите имя точки назначения. Название должно содержать от 1 до 128 символов Юникода.
     • В раскрывающемся списке Тип выберите тип точки назначения и укажите ее параметры в закладках Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа точки назначения:
       • nats – используется для коммуникации через NATS.
       • tcp – используется для связи по протоколу TCP.
       • http – используется для связи по протоколу HTTP.
       • diode – используется для передачи событий с помощью диода данных.
       • kafka – используется для коммуникаций с помощью kafka.
       • file – используется для записи в файл.
   • В поле Описание можно добавить описание ресурса: до 256 символов Юникода.

     Дополнительные параметры точки назначения агента (например, сжатие и режим TLS) должны совпадать с дополнительными параметрами точки назначения коллектора, с которым вы хотите связать агент.

   Точек назначения может быть несколько. Их можно добавить с помощью кнопки Добавить точку назначения и удалить с помощью кнопки .

6. Повторите шаги 3–5 для каждого подключения агента, которое вы хотите создать.
7. Нажмите Сохранить.

Набор ресурсов для агента создан и отображается в разделе Ресурсы → Агенты. Теперь можно создать сервис агента в KUMA.

Создание сервиса агента в веб-интерфейсе KUMA

Когда набор ресурсов для агента создан, можно перейти к созданию сервиса агента в KUMA.

Чтобы создать сервис агента в веб-интерфейсе KUMA:

1. В веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы нажмите Добавить сервис.
2. В открывшемся окне Выберите сервис выберите только что созданный набор ресурсов для агента и нажмите Создать сервис.

Сервис агента создан в веб-интерфейсе KUMA и отображается в разделе Ресурсы → Активные сервисы. Теперь сервисы агента необходимо установить на каждом устройстве, с которого вы хотите передавать данные в коллектор. При установке используется идентификатор сервиса.

Установка агента в сетевой инфраструктуре KUMA

Когда сервис агента создан в KUMA, можно перейти к установке агента на устройствах сетевой инфраструктуры, с которых вы хотите передавать данные в коллектор.

Перед установкой убедитесь в сетевой связности системы и откройте используемые компонентами порты.

Установка агента KUMA на устройствах Linux

Чтобы установить агент KUMA на устройство Linux:

1. Войдите на сервер, на котором вы хотите установить сервис.
2. Создайте следующие директории:
   • /opt/kaspersky/kuma/
   • /opt/kaspersky/agent/
3. Поместите в директорию /opt/kaspersky/kuma/ файл kuma, расположенный внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/.

   Убедитесь, что файл kuma имеет достаточные права для запуска.

4. Выполните следующую команду:

   sudo /opt/kaspersky/kuma/kuma agent --core https://<FQDN сервера Ядра KUMA>:<порт, используемый Ядром KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса, скопированный из веб-интерфейса KUMA> --wd <путь к директории, где будут размещаться файлы устанавливаемого агента. Если не указывать этот флаг, файлы будут храниться в директории, где расположен файл kuma>

   Пример: sudo /opt/kaspersky/kuma/kuma agent --core https://kuma.example.com:7210 --id XXXX --wd /opt/kaspersky/kuma/agent/XXXX

Агент KUMA установлен на устройство Linux. Агент пересылает данные в KUMA: можно настроить коллектор для их приема.

Установка агента KUMA на устройствах Windows

Перед установкой агента KUMA на устройстве Windows администратору сервера необходимо создать на устройстве Windows учетную запись с правами EventLogReaders и Log on as a service. Эту же учетную запись необходимо использовать для запуска агента.

Чтобы установить агент KUMA на устройство Windows:

1. Скопируйте файл kuma.exe в папку на устройстве Windows. Для установки рекомендуется использовать папку C:\Users\<имя пользователя>\Desktop\KUMA.

   Файл kuma.exe находится внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/.

2. Запустите командную строку на устройстве Windows с правами администратора и найдите папку с файлом kuma.exe.
3. Выполните следующую команду:

   kuma agent --core https://<полное доменное имя сервера ядра KUMA>:<порт, используемый сервером ядра KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса агента, созданного в KUMA> --user <имя пользователя, под которым будет работать агент, включая домен> --install

   Пример: kuma agent --core https://kuma.example.com:7210 --id XXXXX --user domain\username --install

   Справочная информация об установщике доступна по команде kuma help agent.

4. Введите пароль для пользователя, под которым будет работать агент.

Создана папка C:\Program Files\Kaspersky Lab\KUMA\agent\<Идентификатор Агента>, в нее установлен сервис агента KUMA. Агент пересылает события Windows в KUMA: можно настроить коллектор для их приема.

Когда сервис агента установлен, он запускается автоматически. Сервис также настроен на перезапуск в случае сбоев. Агент можно перезапустить из веб-интерфейса KUMA, но только когда сервис активен. В противном случае сервис требуется перезапустить вручную на машине Windows.

Удаление агента KUMA с устройств Windows

При настройке сервисов можно проверить конфигурацию на наличие ошибок до установки, запустив агент с помощью команды kuma agent --core https://<полное доменное имя сервера ядра KUMA>:<порт, используемый сервером ядра KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса агента, созданного в KUMA> --user <имя пользователя, под которым будет работать агент, включая домен>.

Автоматически созданные агенты

При создании коллектора с коннекторами типа wec и wmi автоматически создаются агенты для приема событий Windows.

Автоматически созданные агенты имеют ряд особенностей:

• Автоматически созданные агенты могут иметь только одно подключение.
• Автоматически созданные агенты отображаются в разделе Ресурсы → Агенты, в конце их названия указаны слова auto created. Агенты можно просмотреть или удалить.
• Параметры автоматически созданных агентов указываются автоматически на основе параметров коллектора из разделов Подключение источников и Транспорт. Изменить параметры можно только в коллекторе, для которого был создан агент.
• В качестве описания автоматически созданного агента используется описание коллектора в разделе Подключение источников.
• Отладка автоматически созданного агента включается и выключается в разделе коллектора Подключение источников.
• При удалении коллектора с автоматически созданным агентом вам будет предложено удалить коллектор вместе с агентом или удалить только коллектор. При удалении только коллектора агент станет доступен для редактирования.
• При удалении автоматически созданных агентов тип коллектора меняется на http, а из поля URL коллектора удаляется адрес подключения.

В интерфейсе KUMA автоматически созданные агенты появляются одновременно с созданием коллектора, однако их все равно требуется установить на устройстве, с которого требуется передать сообщение.

Обновление агентов

При обновлении версий KUMA требуется обновить и установленные на удаленных машинах агенты WMI и WEC.

Чтобы обновить агент:

1. Установите на удаленной машине новый агент.

   Агент обновлен, но данные от него не поступают из-за недействительного сертификата.

2. В веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы сбросьте сертификат обновляемого агента.
3. На удаленной машине с установленным агентом запустите службу "KUMA Windows Agent <идентификатор сервиса>".

   Подробнее о службах Windows смотрите в документации вашей версии Windows.

Агент и его сертификаты обновлены.