Содержание
Аудит активов
В KUMA можно настроить создание событий аудита активов при следующих условиях:
- Актив добавлен в KUMA. Отслеживается создание актива вручную, а также создание при импорте через REST API, импорте из Kaspersky Security Center или KICS for Networks.
- Параметры актива изменены. Отслеживается изменение значение следующих полей актива:
- Name
- IP address
- Mac Address
- FQDN
- Operating system
Изменения полей может происходить при обновлении актива во время импорта.
- Актив удален из KUMA. Отслеживается удаление активов вручную, а также автоматическое удаление активов, импортированных из Kaspersky Security Center и KICS for Networks, данные о которых перестали поступать.
- Сведения об уязвимости добавлены в актив. Отслеживается появление у активов новых данных об уязвимостях. Сведения об уязвимостях могут быть добавлены в актив, например, при импорте активов из Kaspersky Security Center или KICS for Networks.
- Уязвимость актива закрыта. Отслеживается удаление из актива сведений об уязвимости. Уязвимость считается закрытой, если данные о ней перестают поступать из всех источников, из которых ранее были получены сведения о ее появлении.
- Актив добавлен в категорию. Отслеживается присвоении активу категории активов.
- Актив удален из категории. Отслеживается удаление актива из категории активов.
События аудита активов можно отправлять, например, на хранение или в корреляторы.
Настройка аудита активов
Чтобы настроить аудит активов:
- Откройте раздел Параметры → Аудит активов веб-интерфейса KUMA.
- Выполните одно из действий с тенантом, для которого вы хотите настроить аудит активов:
- Добавьте тенант с помощью кнопки Добавить тенант, если аудит активов для требуемого тенанта настраивается впервые.
В открывшемся окне Аудит активов выберите имя для нового тенанта.
- Выберите существующий тенант в таблице, если аудит активов для требуемого тенанта уже был настроен.
В открывшемся окне Аудит активов имя тенанта уже задано и редактировать его нельзя.
- Клонируйте настройки существующего тенанта, чтобы создать копию конфигурации условий для тенанта, для которого вы хотите настроить аудит активов впервые. Для этого установите флажок напротив тенанта, конфигурацию которого требуется копировать, и нажмите Клонировать. В открывшемся окне Аудит активов выберите имя тенанта, в котором будет использована конфигурация исходного тенанта.
- Добавьте тенант с помощью кнопки Добавить тенант, если аудит активов для требуемого тенанта настраивается впервые.
- Выберите для каждого условия создания событий аудита активов, куда будут отправляться создаваемые события:
- В блоке параметров нужного типа событий аудита активов в раскрывающемся списке Добавить точку назначения выберите тип точки назначения, куда следует отправлять создаваемые события:
- Выберите Хранилище, если хотите, чтобы события отправлялись в хранилище.
- Выберите Коррелятор, если хотите, чтобы события отправлялись в коррелятор.
- Выберите Другое, если хотите выбрать иную точку назначения.
К этому типу относятся также сервисы коррелятора и хранилища, созданные в предыдущих версиях программы.
Откроется окно Добавить точку назначения, где вам требуется параметры пересылки событий.
- В раскрывающемся списке Точка назначения выберите существующую точку назначения или выберите пункт Создать, если хотите создать новую точку назначения.
При создании новой точки назначения заполните параметры, как указано в описании ресурса точки назначения.
- Нажмите Сохранить.
Точка назначения добавлена к условию создания событий аудита активов. Для каждого условия можно добавить несколько точек назначения. Вы также можете выключить уже настроенное условие создания событий аудита активов, для этого нажмите на флажок Выключено напротив требуемого условия.
- В блоке параметров нужного типа событий аудита активов в раскрывающемся списке Добавить точку назначения выберите тип точки назначения, куда следует отправлять создаваемые события:
- Нажмите Сохранить.
Аудит активов настроен. События аудита активов будут создаваться для тех условий, для которых были добавлены точки назначения. Вы также можете выключить аудит активов для существующего тенанта. Для этого нажмите на требуемый тенант и установите флажок Выключено в верхней части открывшегося окна Аудит активов. Нажмите Сохранить.
В началоХранение и поиск событий аудита активов
События аудита активов считаются базовыми и не заменяют собой событий аудита. События аудита активов можно искать по следующим параметрам:
Поле события |
Значение |
DeviceVendor |
|
DeviceProduct |
|
DeviceEventCategory |
|
Включение и выключение аудита активов
Можно включить или выключить аудит активов для тенанта или для определенного условия в рамках одного тенанта.
Чтобы включить или выключить аудит активов для тенанта:
- Откройте раздел Параметры → Аудит активов веб-интерфейса KUMA и выберите тенант, для которого которого вы хотите включить или выключить аудит активов.
Откроется окно Аудит активов.
- Установите или снимите в верхней части окна флажок Выключено.
- Нажмите Сохранить.
Чтобы включить или выключить отдельное условие создания событий аудита активов:
- Откройте раздел Параметры → Аудит активов веб-интерфейса KUMA и выберите тенант, для которого которого вы хотите включить или выключить условие создания событий аудита активов.
Откроется окно Аудит активов.
- Установите или снимите напротив нужных условий флажок Выключено.
- Нажмите Сохранить.