Интеграция с Kaspersky Security Center

Вы можете настроить интеграцию с выбранными серверами Kaspersky Security Center для одного, нескольких или всех тенантов KUMA. Если интеграция с Kaspersky Security Center включена, вы можете импортировать информацию об активах, защищаемых этой программой, управлять активами с помощью задач, а также импортировать события из базы событий Kaspersky Security Center.

Предварительно вам требуется убедиться, что на требуемом сервере Kaspersky Security Center разрешено входящее соединение для сервера с KUMA.

Настройка интеграции KUMA с Kaspersky Security Center включает следующие этапы:

1. Создание в Консоли администрирования Kaspersky Security Center учетной записи пользователя

   Данные этой учетной записи используются при создании секрета для установки соединения с Kaspersky Security Center. Учетной записи должны быть назначены права главного администратора.

   Подробнее о создании учетной записи и назначении прав пользователю см. в справке Kaspersky Security Center.

2. Создание секрета с типом credentials для соединения с Kaspersky Security Center
3. Настройка параметров интеграции с Kaspersky Security Center
4. Создание подключения к серверу Kaspersky Security Center для импорта информации об активах

   Если вы хотите импортировать в KUMA информацию об активах, зарегистрированных на серверах Kaspersky Security Center, вам требуется создать отдельное подключение к каждому серверу Kaspersky Security Center для каждого выбранного тенанта.

   Если для тенанта выключена интеграция или отсутствует подключение к Kaspersky Security Center, при попытке импорта информации об активах в веб-интерфейсе KUMA отобразится ошибка. Процесс импорта при этом не запускается.

Настройка параметров интеграции с Kaspersky Security Center

Чтобы настроить параметры интеграции с Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Для флажка Выключено выполните одно из следующих действий:
   • Снимите флажок, если вы хотите включить интеграцию с Kaspersky Security Center для этого тенанта.
   • Установите флажок, если хотите выключить интеграцию с Kaspersky Security Center для этого тенанта.

   По умолчанию флажок снят.

4. В поле Период обновления данных укажите период времени, по истечении которого KUMA обновляет данные об устройствах Kaspersky Security Center.

   Интервал указывается в часах. Вы можете указать только целое число.

   По умолчанию временной интервал составляет 12 часов.

5. Нажмите на кнопку Сохранить.

Параметры интеграции с Kaspersky Security Center для выбранного тенанта будут настроены.

Если в списке тенантов отсутствует нужный вам тенант, вам требуется добавить его в список.

Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center

Чтобы добавить тенант в список тенантов для интеграции с Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Нажмите на кнопку Добавить тенант.

   Откроется окно Интеграция с Kaspersky Security Center.

3. В раскрывающемся списке Тенант выберите тенант, который вам требуется добавить.
4. Нажмите на кнопку Сохранить.

Выбранный тенант будет добавлен в список тенантов для интеграции с Kaspersky Security Center.

Создание подключения к Kaspersky Security Center

Чтобы создать подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите создать подключение к Kaspersky Security Center.
3. Нажмите на кнопку Добавить подключение и укажите значения для следующих параметров:
   • Название (обязательно) – имя подключения. Имя может включать от 1 до 128 символов Юникода.
   • URL (обязательно) – URL сервера Kaspersky Security Center в формате hostname:port или IPv4:port.
   • В раскрывающемся списке Секрет выберите ресурс секрета с учетными данными Kaspersky Security Center или создайте новый ресурс секрета.
     1. Нажмите на кнопку .

        Откроется окно секрета.

     2. Введите данные секрета:
        1. В поле Название выберите имя для добавляемого секрета.
        2. В раскрывающемся списке Тенант выберите тенант, которому будут принадлежать учетные данные Kaspersky Security Center.
        3. В раскрывающемся списке Тип выберите credentials.
        4. В полях Пользователь и Пароль введите учетные данные вашего сервера Kaspersky Security Center.
        5. В поле Описание можно добавить описание секрета.
     3. Нажмите Сохранить.

     Выбранный секрет можно изменить, нажав на кнопку .

   • Выключено – состояние подключения к выбранному серверу Kaspersky Security Center. Если флажок установлен, подключение к выбранному серверу неактивно. В этом случае вы не можете использовать это подключение для соединения с сервером Kaspersky Security Center.

     По умолчанию флажок снят.

4. Если вы хотите, чтобы программа KUMA импортировала только активы, которые подключены к подчиненным серверам или включены в группы:
   1. Нажмите на кнопку Загрузить иерархию.
   2. Установите флажки рядом с именами подчиненных серверов и групп, из которых вы хотите импортировать информацию об активах.
   3. Если вы хотите импортировать активы только из новых групп, установите флажок Импортировать активы из новых групп.

   Если ни один флажок не установлен, при импорте выгружается информация обо всех активах выбранного сервера Kaspersky Security Center.

5. Нажмите на кнопку Сохранить.

Подключение к серверу Kaspersky Security Center будет создано. Его можно использовать для импорта информации об активах из Kaspersky Security Center в KUMA и для создания задач, связанных с активами, в Kaspersky Security Center из KUMA.

Изменение подключения к Kaspersky Security Center

Чтобы изменить подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Нажмите на подключение с Kaspersky Security Center, которое вы хотите изменить.

   Откроется окно с параметрами выбранного подключения к Kaspersky Security Center.

4. Измените значения необходимых параметров.
5. Нажмите на кнопку Сохранить.

Подключение к Kaspersky Security Center будет изменено.

Удаление подключения к Kaspersky Security Center

Чтобы удалить подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Выберите подключение Kaspersky Security Center, которое вы хотите удалить.
4. Нажмите на кнопку Удалить.

Подключение к Kaspersky Security Center будет удалено.

Работа с задачами Kaspersky Security Center

Вы можете подключить активы Kaspersky Security Center к KUMA и загружать на эти активы обновления баз и программных модулей или запускать на них антивирусную проверку с помощью задач Kaspersky Security Center. Задачи запускаются в веб-интерфейсе KUMA.

Для запуска задач Kaspersky Security Center на активах, подключенных к KUMA, рекомендуется использовать следующий сценарий:

1. Создание в Консоли администрирования Kaspersky Security Center учетной записи пользователя

   Данные этой учетной записи используются при создании секрета для установки соединения с Kaspersky Security Center и могут использоваться при создании задачи.

   Подробнее о создании учетной записи и назначении прав пользователю см. в справке Kaspersky Security Center.

2. Создание задач в Kaspersky Security Center
3. Настройка интеграции KUMA с Kaspersky Security Center
4. Импорт информации об активах Kaspersky Security Center в KUMA
5. Назначение категории импортированным активам

   После импорта активы автоматически помещаются в группу Устройства без категории. Вы можете назначить импортированным активам одну из существующих категорий или создать категорию и назначить ее активам.

6. Запуск задач на активах

   Вы можете запускать задачи вручную в информации об активе или настроить автоматический запуск задач.

Запуск задач Kaspersky Security Center вручную

Вы можете вручную запускать на активах Kaspersky Security Center, подключенных к KUMA, задачу обновления антивирусных баз и модулей программы и задачу антивирусной проверки. На активах должны быть установлены программы Kaspersky Endpoint Security для Windows или Linux.

Предварительно вам нужно настроить интеграцию Kaspersky Security Center с KUMA и создать задачи в Kaspersky Security Center.

Чтобы запустить задачу Kaspersky Security Center вручную:

1. В разделе Активы веб-интерфейса KUMA выберите актив, импортированный из Kaspersky Security Center.

   Откроется окно Информация об активе.

2. Нажмите на кнопку Реагирование KSC.

   Кнопка отображается, если подключение к Kaspersky Security Center, к которому принадлежит выбранный актив, включено.

3. В открывшемся окне Выберите задачу установите флажки рядом с задачами, которые вы хотите запустить, и нажмите на кнопку Запустить.

Kaspersky Security Center запускает выбранные задачи.

Некоторые типы задач доступны только для определенных активов.

Информация об уязвимостях и программном обеспечении доступна только для активов с операционной системой Windows.

Запуск задач Kaspersky Security Center автоматически

Корреляторы могут запускать задачи Kaspersky Security Center автоматически. При выполнении определенных условий коррелятор активирует правила реагирования, содержащие список задач Kaspersky Security Center для запуска и определения соответствующих активов.

Чтобы настроить ресурс реагирования, который может использоваться корреляторами для автоматического запуска задач Kaspersky Security Center:

1. Выберите раздел веб-интерфейса KUMA Ресурсы → Реагирование.
2. Нажмите кнопку Добавить реагирование и задайте параметры, как описано ниже:
   • В поле Имя введите имя ресурса для его идентификации.
   • В раскрывающемся списке Тип выберите ksctasks (задачи Kaspersky Security Center).
   • В раскрывающемся списке Задача Kaspersky Security Center выберите задачи, запускаемые при срабатывании коррелятора, связанного с этим ресурсом реагирования.

     Вы можете выбрать несколько задач. При активации реагирования из списка задач выбирается только первая задача, соответствующая выбранному активу. Остальные подходящие задачи игнорируются. Если требуется запустить несколько задач при выполнении одного условия, нужно создать несколько правил реагирования.

   • В поле Поле события выберите поля события, которые вызовут срабатывание корреляторов. Возможные значения:
     • SourceAssetID.
     • DestinationAssetID.
     • DeviceAssetID.
3. При необходимости в поле Рабочие процессы укажите количество процессов реагирования, которые можно запускать одновременно.
4. При необходимости в блоке параметров Фильтр задайте условия, при соответствии которым события будут обрабатываться создаваемым ресурсом. В раскрывающемся списке можно выбрать существующий ресурс фильтра или создать новый фильтр.

   Создание фильтра в ресурсах

   1. В раскрывающемся списке Фильтр выберите Создать.
   2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

   3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
   4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

         В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

         Операторы фильтров

         • = – левый операнд равен правому операнду.
         • < – левый операнд меньше правого операнда.
         • <= – левый операнд меньше или равен правому операнду.
         • > – левый операнд больше правого операнда.
         • >= – левый операнд больше или равен правому операнду.
         • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
         • contains – левый операнд содержит значения правого операнда.
         • startsWith – левый операнд начинается с одного из значений правого операнда.
         • endsWith – левый операнд заканчивается одним из значений правого операнда.
         • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
         • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
         • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
         • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
         • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
         • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
         • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
         • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

         Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

         По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
   5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
   6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

5. Нажмите Сохранить.

Ресурс реагирования создан. Теперь его можно связать с коррелятором, который будет вызывать его, запуская тем самым задачу Kaspersky Security Center.

Проверка статуса задач Kaspersky Security Center

В веб-интерфейсе KUMA можно проверить, была ли запущена задача Kaspersky Security Center или завершен ли поиск событий из коллектора, который прослушивает события Kaspersky Security Center.

Чтобы выполнить проверку статуса задач Kaspersky Security Center:

1. Выберите раздел KUMA Ресурсы → Активные сервисы.
2. Выберите коллектор, настроенный на получение событий с сервера Kaspersky Security Center, и нажмите на кнопку Перейти к событиям.

Откроется новая закладка браузера в разделе События KUMA. В таблице отобразятся события с сервера Kaspersky Security Center. Статус задач отображается в столбце Название.

Поля событий Kaspersky Security Center:

• Name (Название) – статус или тип задачи.
• Message (Сообщение) – сообщение о задаче или событии.
• FlexString<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, полученного от Kaspersky Security Center. Например, FlexString1Label=TaskName.
• FlexString<номер> (Настраиваемое поле <номер>) – значение атрибута, указанного в поле поля FlexString<номер>Label. Например, FlexString1=Download updates.
• DeviceCustomNumber<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, относящегося к состоянию задачи. Например, DeviceCustomNumber1Label=TaskOldState.
• DeviceCustomNumber<номер> (Настраиваемое поле <номер>) – значение, относящееся к состоянию задачи. Например, DeviceCustomNumber1=1 означает, что задача выполняется.
• DeviceCustomString<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, относящегося к обнаруженной уязвимости: например, название вируса, уязвимого приложения.
• DeviceCustomString<номер> (Настраиваемое поле <номер>) – значение, относящееся к обнаруженной уязвимости. Например, пары атрибут-значение DeviceCustomString1Label=VirusName и DeviceCustomString1=EICAR-Test-File означают, что обнаружен тестовый вирус EICAR.

Импорт событий из базы Kaspersky Security Center

В KUMA можно получать события непосредственно из SQL-базы Kaspersky Security Center. Получение событий производится с помощью коллектора, в котором используются доступные в поставке ресурсы коннектора [OOTB] KSC SQL и нормализатора [OOTB] KSC from SQL.

Чтобы создать коллектор для получения событий Kaspersky Security Center:

1. Запустите мастер установки коллектора одним из следующих способов:
   • В веб-интерфейсе KUMA в разделе Ресурсы нажмите Подключить источник.
   • В веб-интерфейсе KUMA в разделе Ресурсы → Коллекторы нажмите Добавить коллектор.
2. На шаге 2 мастера установки выберите коннектор [OOTB] KSC SQL:
   • В поле URL укажите адрес для подключения к серверу в следующем формате:

     sqlserver://user:password@kscdb.example.com:1433/KAV

     где:

     • user – учетная запись с правами public и db_datareader к нужной базе данных;
     • password – пароль учетной записи;
     • kscdb.example.com:1433 – адрес и порт сервера базы данных;
     • KAV – название базы данных.
   • В поле Запрос укажите запрос к базе данных, исходя из потребности получать определенные события.

     Пример запроса к SQL-базе Kaspersky Security Center

     SELECT ev.event_id AS externalId, ev.severity AS severity, ev.task_display_name AS taskDisplayName,

             ev.product_name AS product_name, ev.product_version AS product_version,

              ev.event_type As deviceEventClassId, ev.event_type_display_name As event_subcode, ev.descr As msg,

     CASE

             WHEN ev.rise_time is not NULL THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.rise_time )

                 ELSE ev.rise_time

             END

         AS endTime,

         CASE

             WHEN ev.registration_time is not NULL

                 THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.registration_time )

                 ELSE ev.registration_time

             END

         AS kscRegistrationTime,

         cast(ev.par7 as varchar(4000)) as sourceUserName,

         hs.wstrWinName as dHost,

         hs.wstrWinDomain as strNtDom, serv.wstrWinName As kscName,

             CAST(hs.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(hs.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(hs.nIp / 256 % 256 AS VARCHAR) + '.' +

         CAST(hs.nIp % 256 AS VARCHAR) AS sourceAddress,

         serv.wstrWinDomain as kscNtDomain,

             CAST(serv.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(serv.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(serv.nIp / 256 % 256 AS VARCHAR) + '.' +

         CAST(serv.nIp % 256 AS VARCHAR) AS kscIP,

         CASE

         WHEN virus.tmVirusFoundTime is not NULL

                 THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),virus.tmVirusFoundTime )

                 ELSE ev.registration_time

             END

         AS virusTime,

         virus.wstrObject As filePath,

         virus.wstrVirusName as virusName,

         virus.result_ev as result

     FROM KAV.dbo.ev_event as ev

     LEFT JOIN KAV.dbo.v_akpub_host as hs ON ev.nHostId = hs.nId

     INNER JOIN KAV.dbo.v_akpub_host As serv ON serv.nId = 1

     Left Join KAV.dbo.rpt_viract_index as Virus on ev.event_id = virus.nEventVirus

     where registration_time >= DATEADD(minute, -191, GetDate())

3. На шаге 3 мастера установки выберите нормализатор [OOTB] KSC from SQL.
4. Остальные параметры укажите в соответствии вашими требованиями к коллектору.

В результате выполнения шагов мастера в веб-интерфейсе KUMA создается сервис коллектора, с помощью которого вы можете импортировать события из SQL-базы Kaspersky Security Center.