Управление активами

Активы представляют собой компьютеры в организации. Вы можете добавить активы в KUMA, тогда KUMA будет автоматически добавлять идентификаторы активов при обогащении событий и при анализе событий вы получите дополнительную информацию о компьютерах в организации.

Вы можете добавить активы в KUMA следующими способами:

• Импортировать активы:
  • Из отчета MaxPatrol.
  • По расписанию: из Kaspersky Security Center и KICS for Networks.

    По умолчанию импорт активов выполняется каждые 12 часов, периодичность можно настроить. Также возможен импорт активов по запросу, при этом выполнение импорта по запросу не повлияет на время импорта по расписанию. KUMA импортирует из базы Kaspersky Security Center сведения об устройствах с установленным Kaspersky Security Center Network Agent, который подключался к Kaspersky Security Center, т.е. поле Connection time в базе SQL — непустое. KUMA импортирует следующие данные о компьютере: имя, адрес, время подключения к Kaspersky Security Center , информацию об оборудовании и программном обеспечении, включая операционную систему, а также об уязвимостях. То есть информацию, которая собирается средствами агента администрирования Kaspersky Security Center.

• Создать активы вручную через веб-интерфейс или с помощью API.

  Вы можете добавить активы вручную. При этом необходимо вручную указать следующие данные: адрес, FQDN, название и версия операционной системы, аппаратные характеристики. Добавление информации об уязвимостях активов через веб-интерфейс не предусмотрено. Вы можете указать информацию об уязвимостях, если будете добавлять активы с помощью API.

Вы можете управлять активами KUMA: просматривать информацию об активах, искать активы, добавлять активы, редактировать их и удалять, а также экспортировать данные о них в CSV-файл.

Категории активов

Вы можете разбить активы по категориям и затем использовать категории в условиях фильтров или правил корреляции. Например, можно создавать алерты более высокого уровня важности для активов из более критичной категории. По умолчанию все активы находятся в категории Активы без категории. Устройство можно добавить в несколько категорий.

По умолчанию KUMA категориям активов присвоены следующие уровни критичности: Low, Medium, High, Critical. Вы можете создать пользовательские категории и организовать вложенность. .

Категории можно наполнять следующими способами:

• Вручную
• Активно: динамически, если актив соответствует заданным условиям. Например, с момента перехода актива на указанную версию ОС или размещения актива в указанной подсети актив будет перемещен в заданную категорию.
  1. В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.

     Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.

  2. В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.

     Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять с помощью кнопок Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.

     Операнды и операторы фильтра категоризации

     Операнд	Операторы	Комментарий
     Номер сборки	>, >=, =, <=, <
     ОС	=, like	Оператор like обеспечивает регистронезависимый поиск.
     IP-адрес	inSubnet, inRange	IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24). При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.
     Полное доменной имя	=, like	Оператор like обеспечивает регистронезависимый поиск.
     CVE	=, in	Оператор in позволяет указать массив значений.
     ПО	=, like
     КИИ	in	Можно выбрать более одного значения.
     Последнее обновление антивирусных баз	>=,<=
     Последнее обновление информации	>=,<=
     Последнее обновление защиты	>=,<=
     Время начала последней сессии	>=,<=
     Расширенный статус KSC	in	Расширенный статус устройства. Можно выбрать более одного значения.
     Статус постоянной защиты	=	Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.
     Статус шифрования	=
     Статус защиты от спама	=
     Статус антивирусной защиты почтовых серверов	=
     Статус защиты данных от утечек	=
     Идентификатор расширенного статуса KSC	=
     Статус Endpoint Sensor	=
     Последнее появление в сети	>=,<=

  3. С помощью кнопки Проверить условия убедитесь, что указанный фильтр верен: при нажатии на кнопку отображается окно Активы, найденные по заданным условиям с перечнем активов, удовлетворяющих условиям поиска.
• Реактивно: при срабатывания корреляционного правила актив будет перемещаться в указанную группу.

В KUMA активы распределены по тенантам и категориям. Активы выстроены в древовидную структуру, где в корне находятся тенанты и от них ветвятся категории активов. Вы можете просмотреть дерево тенантов и категорий в разделе Активы → Все активы веб-интерфейса KUMA. Если выбрать узел дерева, в правой части окна отображаются активы, относящиеся к соответствующей категории. Активы из подкатегорий выбранной категории отображаются, если вы укажете, что хотите отображать активы рекурсивно. Вы можете выделить флажками тенанты, активы которых хотите просматривать.

Чтобы вызвать контекстное меню категории, наведите указатель мыши на категорию и нажмите на значок с многоточием, который появится справа от названия категории. В контекстном меню доступны следующие действия:

Действия, доступные в контекстном меню категории

Добавление категории активов

Чтобы добавить категорию активов:

1. Откройте раздел Активы веб-интерфейса KUMA.
2. Откройте окно создания категории:
   • Нажмите на кнопку Добавить категорию.
   • Если вы хотите создать подкатегорию, в контекстном меню родительской категории выберите Добавить подкатегорию.

   В правой части окна веб-интерфейса отобразится область деталей Добавить категорию.

3. Добавьте сведения о категории:
   • В поле Название введите название категории. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   • В поле Родительская категория укажите место категории в дереве категорий:
     1. Нажмите на кнопку .

        Откроется окно Выбор категорий, в котором отображается дерево категорий. Если вы создаете новую категорию, а не подкатегорию, то в окне может отображаться несколько деревьев категорий активов: по одному для каждого доступного вам тенанта. Выбор тенанта в этом окне невозможно отменить.

     2. Выберите родительскую категорию для создаваемой вами категории.
     3. Нажмите Сохранить.

     Выбранная категория отобразится в поле Родительская категория.

   • В поле Тенант отображается тенант, в структуре которого вы выбрали родительскую категорию. Тенанта категории невозможно изменить.
   • Назначьте уровень важности категории в раскрывающемся списке Уровень важности.
   • При необходимости в поле Описание добавьте примечание: до 256 символов в кодировке Unicode.
4. В раскрывающемся списке Способ категоризации выберите, как категория будет пополняться активами. В зависимости от выбора может потребоваться указать дополнительные параметры:
   • Вручную – активы можно привязать к категории только вручную.
   • Активно – активы будут с определенной периодичностью привязываться к категории, если удовлетворяют заданному фильтру.

     Активная категория активов

     1. В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.

        Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.

     2. В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.

        Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять с помощью кнопок Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.

        Операнды и операторы фильтра категоризации

        Операнд	Операторы	Комментарий
        Номер сборки	>, >=, =, <=, <
        ОС	=, like	Оператор like обеспечивает регистронезависимый поиск.
        IP-адрес	inSubnet, inRange	IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24). При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.
        Полное доменной имя	=, like	Оператор like обеспечивает регистронезависимый поиск.
        CVE	=, in	Оператор in позволяет указать массив значений.
        ПО	=, like
        КИИ	in	Можно выбрать более одного значения.
        Последнее обновление антивирусных баз	>=,<=
        Последнее обновление информации	>=,<=
        Последнее обновление защиты	>=,<=
        Время начала последней сессии	>=,<=
        Расширенный статус KSC	in	Расширенный статус устройства. Можно выбрать более одного значения.
        Статус постоянной защиты	=	Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.
        Статус шифрования	=
        Статус защиты от спама	=
        Статус антивирусной защиты почтовых серверов	=
        Статус защиты данных от утечек	=
        Идентификатор расширенного статуса KSC	=
        Статус Endpoint Sensor	=
        Последнее появление в сети	>=,<=

     3. С помощью кнопки Проверить условия убедитесь, что указанный фильтр верен: при нажатии на кнопку отображается окно Активы, найденные по заданным условиям с перечнем активов, удовлетворяющих условиям поиска.
   • Реактивно – категория будет наполняться активами с помощью правил корреляции.
5. Нажмите Сохранить.

Новая категория добавлена в дерево категорий активов.

Настройка таблицы активов

В KUMA можно настроить содержимое и порядок отображения столбцов в таблице активов. Эти параметры хранятся локально на вашем компьютере.

Чтобы настроить параметры отображения таблицы активов:

1. Откройте раздел Активы веб-интерфейса KUMA.
2. В правом верхнем углу таблицы активов нажмите значок .
3. В раскрывшемся списке установите флажки напротив параметров, которые требуется отображать в таблице:
   • Полное доменное имя
   • IP-адрес
   • Источник актива
   • Владелец
   • MAC-адрес
   • Создан
   • Последнее обновление
   • Тенант
   • Категория КИИ

   Когда вы устанавливаете флажок, таблица активов обновляется и добавляется новый столбец. При снятии флажка столбец исчезает. Таблицу можно сортировать по некоторым столбцам.

4. Если требуется изменить порядок отображения столбцов, зажмите левую клавишу мыши на названии столбца и перетащите его в нужное место таблицы.

Параметры отображения таблицы активов настроены.

Поиск активов

В KUMA есть два режима поиска активов. Переключение между режимами поиска осуществляется с помощью кнопок в верхней левой части окна:

• – простой поиск по параметрам активов Название, Полное доменное имя, IP-адрес, MAC-адрес и Владелец.
• – сложный поиск активов с помощью фильтрации по условиям и группам условий.

Найденные активы можно выделить, установив напротив них флажки, и экспортировать данные о них в виде CSV-файла.

Простой поиск

Чтобы найти актив:

1. В разделе Активы веб-интерфейса KUMA убедитесь, что в верхней левой части окна активна кнопка .

   В верхней части окна отображается поле Поиск.

2. Введите поисковый запрос в поле Поиск и нажмите ENTER или значок .

В таблице отобразятся активы, у которых параметры Название, Полное доменное имя, IP-адрес, MAC-адрес и Владелец соответствуют критериям поиска.

Сложный поиск

Сложный поиск активов производится с помощью условий фильтрации, которые можно задать в верхней части окна:

• С помощью кнопки Добавить условие можно добавить строку с полями для определения условия.
• С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ.
• Условия и группы условий можно перетягивать мышкой.
• Условия, группы и фильтры можно удалить с помощью кнопки .
• Параметры фильтрации можно отобразить в компактно, нажав на кнопку Свернуть. В этом случае отображается результирующее поисковое выражение. При нажатии на него условия поиска снова отображаются полностью.
• Параметры фильтрации можно обнулить с помощью кнопки Очистить.
• Операторы условий и доступные значения правого операнда зависят от выбранного левого операнда:

  Левый операнд	Доступные операторы	Правый операнд
  Номер сборки	=, >, >=, <, <=	Произвольное значение.
  ОС	=, ilike	Произвольное значение.
  IP-адрес	inSubnet, inRange	Произвольное значение или диапазон значений. Условие фильтрации для оператора inSubnet выполнится, если IP-адрес, который содержится в левом операнде входит в подсеть, которая указан в правом операнде. Например, для IP-адреса 10.80.16.206 в правом операнде следует указать подсеть в короткой нотации: 10.80.16.206/25.
  Полное доменное имя	=, ilike	Произвольное значение.
  CVE	=, in	Произвольное значение.
  Источник актива	in	Kaspersky Security Center KICS for Networks Импортирован через API Создан вручную
  ОЗУ	=, >, >=, <, <=	Число.
  Количество дисков	=, >, >=, <, <=	Число.
  Количество сетевых карт	=, >, >=, <, <=	Число.
  Свободных байт на диске	=, >, >=, <, <=	Число.
  Последнее обновление антивирусных баз	>=, <=	Дата.
  Последнее обновление информации	>=, <=	Дата.
  Последнее обновление защиты	>=, <=	Дата.
  Время начала последней сессии	>=, <=	Дата.
  Расширенный статус KSC	in	Хост с установленным Агентом администрирования подключен к сети, но Агент администрирования неактивен Антивирусное приложение установлено, но постоянная защита не работает Антивирусное приложение установлено, но не запущено Количество обнаруженных вирусов слишком велико Антивирусное приложение установлено, но статус постоянной защиты отличается от установленного администратором безопасности Антивирусное приложение не установлено Полная проверка на вирусы выполнялась слишком давно Антивирусные базы обновлялись слишком давно Агент администрирования слишком долго был неактивен Устаревшая лицензия Количество невылеченных объектов слишком велико Требуется перезагрузка На хосте установлено одно или несколько несовместимых приложений Хост имеет одну или несколько уязвимостей Последний поиск обновлений операционной системы на хосте выполнялся слишком давно Хост не имеет надлежащего статуса шифрования Параметры мобильного устройства не соответствуют требованиям политики безопасности Есть необработанные инциденты Статус хоста был предложен управляемым продуктом На хосте недостаточно места на диске: возникают ошибки синхронизации или на диске недостаточно места
  Статус постоянной защиты	=	Приостановлена Запускается Выполняется (если антивирусное приложение не поддерживает категории состояния Выполняется) Выполняется с максимальной защитой Выполняется с максимальным быстродействием Выполняется с рекомендуемыми параметрами Выполняется с пользовательскими параметрами Ошибка
  Статус шифрования	=	На хосте нет правил шифрования. Шифрование выполняется. Шифрование отменено пользователем. Во время шифрования произошла ошибка. Все правила шифрования хоста были выполнены. Шифрование выполняется, на хосте требуется перезагрузка. На хосте есть зашифрованные файлы без указанных правил шифрования.
  Статус защиты от спама	=	Неизвестно Остановлена Приостановлена Запускается Выполняется Ошибка Не установлено Лицензия отсутствует
  Статус антивирусной защиты почтовых серверов	=	Неизвестно Остановлена Приостановлена Запускается Выполняется Ошибка Не установлено Лицензия отсутствует
  Статус защиты данных от утечек	=	Неизвестно Остановлена Приостановлена Запускается Выполняется Ошибка Не установлено Лицензия отсутствует
  Идентификатор расширенного статуса KSC	=	ОК Критический Требует внимания
  Статус Endpoint Sensor	=	Неизвестно Остановлена Приостановлена Запускается Выполняется Ошибка Не установлено Лицензия отсутствует
  Последнее появление в сети	>=, <=	Дата

Чтобы найти актив:

1. В разделе Активы веб-интерфейса KUMA убедитесь, что в верхней левой части окна активна кнопка .

   В верхней части окна отображается блок настройки фильтрации активов.

2. Задайте параметры фильтрации активов и нажмите на кнопку Поиск.

В таблице отобразятся активы, которые соответствуют критериям поиска.

Экспорт данных об активах

Данные об активах, отображаемых в таблице активов, можно экспортировать в виде CSV-файла.

Чтобы экспортировать данные об активах:

1. Настройте таблицу активов.

   В файл записываются только данные, указанные в таблице. Порядок отображения столбцов таблицы активов повторяется в экспортированном файле.

2. Найдите нужные активы и выберите их, установив рядом с ними флажки.

   При необходимости вы можете выбрать сразу все активы в таблице, установив флажок в левой части заголовка таблицы активов.

3. Нажмите на кнопку Экспортировать в CSV.

Данные об активах будут записаны в файл assets_<дата экспорта>_<время экспорта>.csv. Файл будет скачан в соответствии с параметрами вашего браузера.

Просмотр информации об активе

Чтобы просмотреть информацию об активе, откройте окно информации об активе одним из следующих способов:

• В веб-интерфейсе KUMA выберите раздел Активы → выберите категорию с требуемыми активами → выберите актив.
• В веб-интерфейсе KUMA выберите раздел Алерты → нажмите на ссылку с требуемым алертом → в разделе Связанные активы выберите актив.
• В веб-интерфейсе KUMA выберите раздел События → выполните поиск и фильтрацию событий → выберите требуемое событие → нажмите на ссылку в одном из следующих полей: SourceAssetID, DestinationAssetID или DeviceAssetID.

В окне информации об активе может отображаться следующая информация:

• Название – имя актива.

  Активы, импортированные в KUMA, сохраняют имена, которые были заданы для них в источнике. Вы можете изменить эти имена в веб-интерфейсе KUMA.

• Тенант – название тенанта, которому принадлежит актив.
• Источник актива – источник информации об активе. Источников может быть несколько: сведения можно добавить в веб-интерфейсе KUMA или с помощью API, а также импортировать из Kaspersky Security Center, KICS for Networks и отчетов MaxPatrol.

  Добавляя в KUMA сведения об одном и том же активе из нескольких источников, следует учитывать правила слияния данных об активах.

• Создано – дата и время добавления актива в KUMA.
• Последнее обновление – дата и время изменения информации об активе.
• Владелец – владелец актива, если он указан.
• IP-адрес – IP-адрес актива (если есть).

  Если в KUMA есть несколько активов с одинаковыми IP-адресами, актив, добавленный позже, возвращается во всех случаях поиска активов по IP-адресу. Если в сети вашей организации допустимо наличие активов с одинаковыми IP-адресами, разработайте и используйте дополнительные атрибуты для идентификации активов. Это может оказаться важным при корреляции.

• Полное доменное имя – полностью определенное имя домена актива, если указано.
• MAC-адрес – MAC-адрес актива (если есть).
• Операционная система – операционная система актива.
• Связанные алерты – алерты, с которыми связан актив (если есть).

  Для просмотра списка алертов, с которыми связан актив, можно перейти по ссылке Найти в алертах. Откроется закладка Алерты с поисковым выражением, позволяющим отфильтровать все активы с соответствующим идентификатором.

• Информация о программном обеспечении и Информация об оборудовании – если указаны параметры программного обеспечения и оборудования актива, они отображаются в этом разделе.
• Сведения об уязвимостях актива:
  • Уязвимости Kaspersky Security Center – уязвимости актива, если есть. Эта информация доступна для активов, импортированных из Kaspersky Security Center.

    Вы можете узнать больше об уязвимости, нажав на значок , открывающий портал Kaspersky Threats. Вы также можете обновить список уязвимостей, нажав на ссылку Обновить и запросив обновленную информацию из Kaspersky Security Center.

  • Уязвимости KICS for Networks – уязвимости актива, если есть. Эта информация доступна для активов, импортированных из KICS for Networks.
• Сведения об источниках актива:
  • Последнее появление в сети – время последнего получения сведений об активе из Kaspersky Security Center. Эта информация доступна для активов, импортированных из Kaspersky Security Center.
  • Идентификатор хоста – идентификатор агента администрирования Kaspersky Security Center, от которого получены сведения об активе. Эта информация доступна для активов, импортированных из Kaspersky Security Center. С помощью этого идентификатора определяется уникальность актива в Kaspersky Security Center.
  • IP-адрес сервера KICS for Networks и Идентификатор коннектора KICS for Networks – данные об экземпляре KICS for Networks, из которого был импортирован актив.
• Настраиваемые поля – данные, записанные в настраиваемые поля активов.
• Дополнительные сведения о параметрах защиты актива с установленной программой Kaspersky Endpoint Security для Windows или Kaspersky Endpoint Security для Linux:
  • Идентификатор расширенного статуса KSC – статус актива. Может иметь следующие значения:
    • ОК.
    • Критическое.
    • Предупреждение.
  • Расширенный статус KSC – информация о состоянии актива. Например, "Антивирусные базы обновлялись слишком давно".
  • Статус постоянной защиты – статус программ "Лаборатории Касперского", установленных на активе. Например, "Выполняется (если антивирусное приложение не поддерживает категории состояния Выполняется)".
  • Статус шифрования – информация о шифровании актива. Например, "На хосте нет правил шифрования".
  • Статус защиты от спама – состояние защиты от спама. Например, "Запущена".
  • Статус антивирусной защиты почтовых серверов – состояние антивирусной защиты почтовых серверов. Например, "Запущена".
  • Статус защиты данных от утечек – состояние защиты данных от утечек. Например, "Запущена".
  • Статус Endpoint Sensor – состояние защиты данных от утечек. Например, "Запущена".
  • Последнее обновление антивирусных баз – версия загруженных антивирусных баз.
  • Последнее обновление защиты – время последнего обновления антивирусных баз.
  • Время начала последней сессии – время последнего запуска системы.

  Эти сведения отображаются, если актив был импортирован из Kaspersky Security Center.

• Категории – категории, к которым относится актив (если есть).
• КИИ категория – сведения о том, является ли актив объектом критической информационной инфраструктуры (КИИ).

По кнопке Реагирование KSC вы можете запустить на активе выполнение задачи Kaspersky Security Center, а по кнопке Переместить в группу KSC переместить просматриваемый актив между группами администрирования Kaspersky Security Center.

Доступно при интеграции с Kaspersky Security Center.

Добавление активов

Вы можете добавлять информацию об активах следующими способами:

• Вручную.

  Вы можете добавить актив в веб-интерфейсе KUMA или с помощью API.

• Импортировать активы.

  Вы можете импортировать активы из Kaspersky Security Center, KICS for Networks и отчетов MaxPatrol.

При добавлении активы, уже существующие в KUMA, могут объединяться с добавляемыми активами.

Алгоритм объединения активов:

1. Проверка на уникальность активов в Kaspersky Security Center или KICS for Networks активов:
   • Уникальность актива импортированного из Kaspersky Security Center, проверяется по параметру Идентификатор хоста, в котором указан идентификатор агента администрирования Kaspersky Security Center. Если идентификаторы у двух активов различаются, активы считаются разными, объединения данных не происходит.
   • Уникальность актива импортированного из KICS for Networks, определяется по комбинации параметров IP-адрес, IP-адрес сервера KICS for Networks и Идентификатор коннектора KICS for Networks. Если любой из параметров у двух активов различается, активы считаются разными, объединения данных не происходит.

   Если активы совпадают, алгоритм выполняется далее.

2. Проверка на совпадение значений в полях IP, MAC, FQDN.

   Если хотя бы два из указанных полей совпадают, активы объединяются при условии, что другие поля не заполнены.

   Возможные варианты совпадений:

   • FQDN и IP-адрес активов. Поле MAC не заполнено.

     Проверка производится по всему массиву значений IP-адресов. Если IP-адрес актива входит в состав FQDN, значения считаются совпавшими.

   • FQDN и MAC-адрес активов. Поле IP не заполнено.

     Проверка производится по всему массиву значений MAC-адресов. При полном совпадении хотя бы одного значения массива с FQDN значения считаются совпавшими.

   • IP-адрес и MAC-адрес активов. Поле FQDN не заполнено.

     Проверка производится по всему массиву значений IP- и MAC-адресов. При полном совпадении хотя бы одного значения в массивах значения считаются совпавшими.

3. Проверка на совпадение хотя бы одного из полей IP, MAC, FQDN при условии, что два других поля не заполнены для одного или обоих активов.

   Активы объединяются, если значения в поле совпадают. Например, если для актива KUMA указаны FQDN и IP-адрес, а для импортируемого актива только IP-адрес с тем же значением, поля считаются совпавшими. В этом случае активы объединяются.

   Для каждого поля проверка производится отдельно и завершается при первом совпадении.

Вы можете посмотреть примеры сравнения полей активов здесь.

Информация об активах может формироваться из разных источников. Если добавляемый актив и актив KUMA содержат данные, полученные из одного и того же источника, эти данные перезаписываются. Например, актив Kaspersky Security Center при импорте в KUMA получил полное доменное имя и информацию о программном обеспечении. При импорте актива из Kaspersky Security Center с аналогичным полным доменным именем эти данные будут перезаписаны при условии, что они указаны для добавляемого актива. Все поля, в которых могут обновляться данные, приведены в таблице Обновляемые данные.

Обновляемые данные

Обновленные данные отображаются в информации об активе. Вы можете просмотреть информацию об активе в веб-интерфейсе KUMA.

При добавлении новых активов эти данные могут быть перезаписаны. Если данные, из которых сформирована информация об активе, не обновляются из источников более 30 дней, актив удаляется. При следующем добавлении актива из тех же источников создается новый актив.

При редактировании в веб-интерфейсе KUMA активов, информация о которых получена из Kaspersky Security Center или KICS for Networks, вы можете изменить следующие данные актива:

• Название.
• Категория.

Если информация об активе добавлена вручную, при редактировании в веб-интерфейсе KUMA этих активов вы можете изменить следующие данные актива:

• Название.
• Название тенанта, которому принадлежит актив.
• IP-адрес.
• Полное доменное имя.
• MAC-адрес.
• Владелец.
• Категория.
• Операционная система.
• Информация об оборудовании.

Редактирование данных об активах через REST API недоступно. При импорте из REST API происходит обновление данных по правилам слияния информации об активах, приведенным выше.

Добавление информации об активах в веб-интерфейсе KUMA

Чтобы добавить актив в веб-интерфейсе KUMA:

1. В разделе Активы веб-интерфейса KUMA нажмите на кнопку Добавить актив.

   В правой части окна откроется область деталей Добавить актив.

2. Введите параметры актива:
   • Название актива (обязательно).
   • Тенант (обязательно).
   • IP-адрес и/или Полное доменное имя (обязательно).
   • MAC-адрес.
   • Владелец.
3. При необходимости присвойте активу одну или несколько категорий:
   1. Нажмите на кнопку .

      Откроется окно Выбор категорий.

   2. Установите флажки рядом с категориями, которые следует присвоить активу. С помощью значков и вы можете разворачивать и сворачивать списки категорий.
   3. Нажмите Сохранить.

   Выбранные категории отобразятся в полях Категории.

4. При необходимости добавьте в раздел Программное обеспечение сведения об операционной системе актива.
5. При необходимости добавьте в раздел Информация об оборудовании сведения об оборудовании актива.
6. Нажмите на кнопку Добавить.

Актив создан и отображается в таблице активов в назначенной ему категории или в категории Активы без категории.

Импорт информации об активах из Kaspersky Security Center

В Kaspersky Security Center зарегистрированы все активы, которые находятся под защитой этой программы. Вы можете импортировать информацию об активах, защищаемых Kaspersky Security Center, в KUMA. Для этого вам требуется предварительно настроить интеграцию между программами.

В KUMA предусмотрены следующие типы импорта активов из KSC:

• Импорт информации обо всех активах всех серверов KSC.
• Импорт информации об активах выбранного сервера KSC.

Чтобы импортировать информацию обо всех активах всех серверов KSC:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. Нажмите на кнопку Импортировать активы.

   Откроется окно Импорт активов из Kaspersky Security Center.

3. В раскрывающемся списке выберите тенант, для которого вы хотите выполнить импорт.

   В этом случае программа загружает информацию обо всех активах всех серверов KSC, для которых настроено подключение к выбранному тенанту.

   Если вы хотите импортировать информацию обо всех активах всех серверов KSC для всех тенантов, выберите Все тенанты.

4. Нажмите на кнопку OK.

Информация об активах будет импортирована.

Чтобы импортировать информацию об активах одного сервера KSC:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите импортировать активы.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Нажмите на подключение для требуемого сервера Kaspersky Security Center.

   Откроется окно с параметрами этого подключения к Kaspersky Security Center.

4. Выполните одно из следующих действий:
   • Если вы хотите импортировать все активы, подключенные к выбранному серверу KSC, нажмите на кнопку Импортировать активы.
   • Если вы хотите импортировать только активы, которые подключены к подчиненному серверу или включены в одну из групп (например, группу Нераспределенные устройства), выполните следующие действия:
     1. Нажмите на кнопку Загрузить иерархию.
     2. Установите флажки рядом с именами подчиненных серверов или групп, из которых вы хотите импортировать информацию об активах.
     3. Установите флажок Импортировать активы из новых групп, если вы хотите импортировать активы из новых групп.

        Если ни один флажок не установлен, при импорте выгружается информация обо всех активах выбранного сервера KSC.

     4. Нажмите на кнопку Сохранить.
     5. Нажмите на кнопку Импортировать активы.

Информация об активах будет импортирована.

Импорт информации об активах из MaxPatrol

В KUMA можно импортировать сведения об активах из отчетов о результатах сканирования сетевых устройств системы MaxPatrol. Импорт происходит через API с помощью утилиты maxpatrol-tool на сервере, где установлено Ядро KUMA. Импортированные активы отображаются в веб-интерфейсе KUMA в разделе Активы. При необходимости вы можете редактировать параметры активов.

Утилита входит в комплект поставки KUMA и расположена в архиве установщика в директории /kuma-ansible-installer/roles/kuma/files.

Импорт поддерживается из MaxPatrol 8.

Чтобы импортировать данные об активах из отчета MaxPatrol:

1. Сформируйте в MaxPatrol отчет сканирования сетевых активов в формате XML file и скопируйте файл отчета на сервер Ядра KUMA. Подробнее о задачах на сканирование и форматах выходных файлов см. в документации MaxPatrol.

   Импорт данных из отчетов в формате SIEM integration file не поддерживается. Требуется выбрать формат XML file.

2. Создайте файл с токеном для доступа к KUMA REST API. Для удобства рекомендуется разместить его в папке отчета MaxPatrol. Файл не должен содержать ничего, кроме токена.

   Требования к учетным записям, для которых генерируется API-токен:

   • Роль Администратора или Аналитика.
   • Доступ к тенанту, в который будут импортированы активы.
   • Настроены права на использование API-запросов GET /users/whoami и POST /api/v1/assets/import.

     Мы рекомендуем для импорта активов из MaxPatrol создать отдельного пользователя с минимально необходимым набором прав на использование API-запросов.

3. Скопируйте утилиту maxpatrol-tool на сервер с Ядром KUMA и сделайте файл утилиты исполняемым с помощью команды:

   chmod +x <путь до файла maxpatrol-tool на сервере с Ядром KUMA>

4. Запустите утилиту maxpatrol-tool:

   ./maxpatrol-tool --kuma-rest <адрес и порт сервера KUMA REST API> --token <путь и имя файла с API-токеном> --tenant <название тенанта, куда будут помещены активы> <путь и имя файла с отчетом MaxPatrol> --cert <путь к файлу сертификата Ядра KUMA>

   Пример: ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /opt/kaspersky/kuma/core/certificates/ca.cert

Вы можете использовать дополнительные флаги и команды для импорта. Например, команду для отображения полного отчета о полученных активах --verbose, -v. Подробное описание доступных флагов и команд приведено в таблице Флаги и команды утилиты maxpatrol-tool. Также для просмотра информации о доступных флагах и командах вы можете использовать команду --help.

Информация об активах будет импортирована из отчета MaxPatrol в KUMA. В консоли отображаются сведения о количестве новых и обновленных активов.

Поведение утилиты при импорте активов:

• KUMA перезаписывает данные импортированных через API активов и удаляет сведения об их устраненных уязвимостях.
• KUMA пропускает активы с недействительными данными. Сведения об ошибках отображаются при использовании флага --verbose.
• Если в одном отчете MaxPatrol есть активы с одинаковыми IP-адресами и полными именами домена (FQDN), эти активы объединяются. Сведения об их уязвимостях и программном обеспечении также объединяются в одном активе.

  При загрузке активов из MaxPatrol активы с аналогичными IP-адресами и полными именами доменов (FQDN), ранее импортированные из Kaspersky Security Center, перезаписываются.

  Чтобы этого избежать, вам требуется настроить фильтрацию активов по диапазону с помощью команды:

  --ignore <диапазоны IP-адресов> или -i <диапазоны IP-адресов>

  Активы, соответствующие условиям фильтрации, не загружаются. Описание команды вы можете просмотреть в таблице Флаги и команды утилиты maxpatrol-tool.

Флаги и команды утилиты maxpatrol-tool

Примеры:

• ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /example-directory/ca.cert – импорт активов в KUMA из отчета MaxPatrol example.xml.
• ./maxpatrol-tool help – получение справки об утилите.

Возможные ошибки

Импорт информации об активах из KICS for Networks

После создания интеграции с KICS for Networks задачи на получение данных об активах KICS for Networks создаются автоматически. Это происходит в следующих случаях:

• Сразу после создания новой интеграции.
• Сразу после изменения параметров существующей интеграции.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 12 часов. Расписание можно изменить.

Задачи на обновление данных об учетных записях можно создать вручную.

Чтобы запустить задачу на обновление данных об активах KICS for Networks для тенанта:

1. Откройте в веб-интерфейсе KUMA разделе Параметры → Kaspersky Industrial CyberSecurity for Networks.
2. Выберите требуемый тенант.

   Откроется окно Интеграция с Kaspersky Industrial CyberSecurity for Networks.

3. Нажмите на кнопку Импортировать активы.

В разделе Диспетчер задач веб-интерфейса KUMA добавлена задача на получение данных об учетных записях выбранного тенанта.

Примеры сравнения полей активов при импорте

Каждый импортируемый актив сравнивается с активом KUMA.

Проверка на совпадение значений в полях IP, MAC, FQDN по двум полям

Результаты сравнения:

• Импортируемый актив 1 и актив KUMA: для обоих активов заполнены и совпадают поля FQDN и IP, по полю MAC нет противоречия. Активы будут объединены.
• Импортируемый актив 2 и актив KUMA: для обоих активов заполнены и совпадают поля FQDN и IP. Активы будут объединены.
• Импортируемый актив 3 и актив KUMA: для обоих активов заполнены и совпадают поля FQDN и MAC, по полю IP нет противоречия. Активы будут объединены.
• Импортируемый актив 4 и актив KUMA: для обоих активов заполнено и совпадает поле IP, по полям FQDN и MAC нет противоречия. Активы будут объединены.
• Импортируемый актив 5 и актив KUMA: для обоих активов заполнено и совпадает поле FQDN, по полям IP и MAC нет противоречия. Активы будут объединены.
• Импортируемый актив 6 и актив KUMA: для активов нет ни одного совпадающего поля. Активы не объединяются.

Проверка на совпадение значений в полях IP, MAC, FQDN по одному полю

Результаты сравнения:

• Импортируемый актив 1 и актив KUMA: для обоих активов заполнено и совпадает поле IP, по полям FQDN и MAC нет противоречия. Активы будут объединены.
• Импортируемый актив 2 и актив KUMA: заполнено и совпадает поле IP, по полям FQDN и MAC нет противоречия. Активы будут объединены.
• Импортируемый актив 3 и актив KUMA: для активов нет ни одного совпадающего поля. Активы не объединяются.
• Импортируемый актив 4 и актив KUMA: для активов нет ни одного совпадающего поля. Активы не объединяются.

Назначение активу категории

Чтобы назначить категорию одному активу:

1. В веб-интерфейсе KUMA перейдите в раздел Активы.
2. Выберите категорию с требуемыми активами.

   Отобразится таблица активов.

3. Выберите актив.
4. В открывшемся окне нажмите на кнопку Изменить.
5. В поле Категории нажмите на кнопку .
6. Выберите категорию.

   Если вы хотите перенести актив в раздел Активы без категории, вам требуется удалить существующие для актива категории, нажав на кнопку .

7. Нажмите на кнопку Сохранить.

Категория будет назначена.

Чтобы назначить категорию нескольким активам:

1. В веб-интерфейсе KUMA перейдите в раздел Активы.
2. Выберите категорию с требуемыми активами.

   Отобразится таблица активов.

3. Установите флажки рядом с активами, для которых вы хотите изменить категорию.
4. Нажмите на кнопку Привязать к категории.
5. В открывшемся окне выберите категорию.
6. Нажмите на кнопку Сохранить.

Категория будет назначена.

Не назначайте активам категорию Categorized assets.

Изменение параметров активов

В KUMA можно изменять параметры активов. У добавленных вручную активов можно изменять все параметры. У активов, импортированных из Kaspersky Security Center, можно изменить только название актива и его категорию.

Чтобы изменить параметры актива:

1. В разделе Активы веб-интерфейса KUMA нажмите на актив, который вы хотите изменить.

   В правой части окна откроется область Информация об активе.

2. Нажмите на кнопку Изменить.

   Откроется окно Изменить актив.

3. Внесите необходимые изменения в доступные поля:
   • Название актива (обязательно. Это единственное поле, доступное для редактирования у активов, импортированных из Kaspersky Security Center или KICS for Networks.)
   • IP-адрес и/или Полное доменное имя (обязательно)
   • MAC-адрес
   • Владелец
   • Информация о программном обеспечении:
     • Название ОС
     • Версия ОС
   • Информация об оборудовании:

     Параметры оборудования

     В раздел Информация об оборудовании можно добавить сведения об оборудовании актива:

     Доступные поля для описания CPU актива:

     • Название процессора
     • Частота процессора
     • Количество ядер процессора

     Активу можно добавить процессоры с помощью ссылки Добавить процессор.

     Доступные поля для описания диска актива:

     • Свободных байт на диске
     • Объем диска

     Активу можно добавить диски с помощью ссылки Добавить диск.

     Доступные поля для описания RAM актива:

     • Частота оперативной памяти
     • Общий объем ОЗУ

     Доступные поля для описания сетевой карты актива:

     • Название сетевой карты
     • Производитель сетевой карты
     • Версия драйвера сетевой карты

     Активу можно добавить сетевые карты с помощью ссылки Добавить сетевую карту.

   • Настраиваемые поля.
   • Категория КИИ.
4. Назначьте или измените активу категорию:
   1. Нажмите на кнопку .

      Откроется окно Выбор категорий.

   2. Установите флажки рядом с категориями, которые следует присвоить активу.
   3. Нажмите Сохранить.

   Выбранные категории отобразятся в полях Категории.

   Кроме того, можно выбрать актив и перетащить его в нужную категорию. Эта категория будет добавлена в список категорий актива.

   Не назначайте активам категорию Categorized assets.

5. Нажмите на кнопку Сохранить.

Параметры актива изменены.

Удаление активов

В KUMA доступны следующие способы удаления активов:

• Автоматически.

  Автоматически удаляются только импортированные активы. Активы, которые добавлены вручную, не подлежат автоматическому удалению, за исключением случаев, когда выполняется слияние актива, добавленного вручную, и импортированного из KSC или KICS for Networks. В таком случае актив будет считаться импортированным и может быть удален автоматически.

  Импортированные активы удаляются автоматически, если информация об активах из Kaspersky Security Center не обновлялась в KUMA в течение 30 дней, и об активах KICS for Networks 90 дней. Обновление актива может не происходить, если данные об активе отсутствуют в Kaspersky Security Center или KICS for Networks, или если более 30 дней отсутствует соединение с сервером Kaspersky Security Center или 90 дней с KICS for Networks. Если после удаления актива в KUMA сведения о нем снова поступают из Kaspersky Security Center или KICS for Networks, KUMA создаст актив с новым идентификатором.

• Вручную.

Чтобы удалить актив вручную:

1. В разделе Активы веб-интерфейса KUMA нажмите на актив, который вы хотите удалить.

   В правой части окна откроется область Информация об активе.

2. Нажмите на кнопку Удалить.

   Откроется окно подтверждения.

3. Нажмите ОК.

Актив удален.

Обновление программ сторонних производителей и закрытие уязвимостей на активах Kaspersky Security Center

Вы можете обновлять программы сторонних производителей, в том числе программы Microsoft, установленные на активах Kaspersky Security Center, и закрывать уязвимости этих программ.

Предварительно вам нужно создать задачу Установка требуемых обновлений и закрытие уязвимостей на выбранном сервере Администрирования Kaspersky Security Center со следующими параметрами:

• Программа – Kaspersky Security Center.
• Тип задачи – Установка требуемых обновлений и закрытие уязвимостей.
• Устройства, которым будет назначена задача – вам требуется назначить задачу корневой группе администрирования.
• Правила для установки обновлений:
  • Устанавливать только утвержденные обновления.
  • Закрывать уязвимости с уровнем критичности равным или выше (необязательный параметр).

    Если этот параметр включен, обновления закрывают только те уязвимости, для которых уровень критичности, установленный "Лабораторией Касперского", равен или превышает значение, выбранное в списке (Средний, Высокий или Предельный). Уязвимости с уровнем критичности ниже выбранного значения не закрываются.

• Запуск по расписанию – расписание, в соответствии с которым выполняется задача.

О способах создания задачи см. подробнее в справке Kaspersky Security Center.

Задача Установка требуемых обновлений и закрытие уязвимостей доступна при наличии лицензии на Системное администрирование.

Далее вам требуется установить обновления для программ сторонних производителей и закрыть уязвимости на активах в KUMA.

Чтобы установить обновления и закрыть уязвимости программ сторонних производителей на активе в KUMA:

1. Откройте окно информации об активе одним из следующих способов:
   • В веб-интерфейсе KUMA выберите раздел Активы → выберите категорию с требуемыми активами → выберите актив.
   • В веб-интерфейсе KUMA выберите раздел Алерты → нажмите на ссылку с требуемым алертом → в разделе Связанные активы выберите актив.
   • В веб-интерфейсе KUMA выберите раздел События → выполните поиск и фильтрацию событий → выберите требуемое событие → нажмите на ссылку в одном из следующих полей: SourceAssetID, DestinationAssetID или DeviceAssetID.
2. В окне информации об активе раскройте список Уязвимости Kaspersky Security Center.
3. Установите флажки рядом с программами, которые вы хотите обновить.
4. Нажмите на ссылку Загрузить обновления.
5. В открывшемся окне установите флажок рядом с идентификатором уязвимости, которую вы хотите закрыть.
6. Если в столбце Лицензионное соглашение принято для выбранного идентификатора отображается Нет, нажмите на кнопку Принять обновления.
7. Перейдите по ссылке в столбце URL Лицензионного соглашения и ознакомьтесь с текстом Лицензионного соглашения.
8. Если вы с ним согласны, в веб-интерфейсе KUMA нажмите на кнопку Принять Лицензионные соглашения.

   Напротив идентификатора уязвимости, для которого было принято Лицензионное соглашение, в столбце Лицензионные соглашения приняты отобразится Да.

9. Повторите шаги 7–10 для каждого требуемого идентификатора уязвимости.
10. Нажмите на кнопку ОК.

Обновления будут загружены и установлены на активы, того сервера Администрирования, где была запущена задача, а также на активы всех подчиненные серверы Администрирования.

Условия Лицензионного соглашения для обновления и закрытия уязвимостей требуется принять на каждом подчиненном сервере Администрирования отдельно.

Обновления устанавливаются на активы, на которых была обнаружена уязвимость.

Вы можете обновить список уязвимостей для актива в окне информации об активе, нажав на ссылку Обновить.

Перемещение активов в выбранную группу администрирования

Вы можете перемещать активы в выбранную группу администрирования Kaspersky Security Center. В этом случае на активы будут распространятся групповые политики и задачи. Подробнее о политиках и задачах Kaspersky Security Center см. справку Kaspersky Security Center.

Группы администрирования добавляются в KUMA при загрузке иерархии во время импорта активов из Kaspersky Security Center. Предварительно вам требуется настроить интеграцию KUMA с Kaspersky Security Center.

Чтобы переместить один актив в выбранную группу администрирования:

1. Откройте окно информации об активе одним из следующих способов:
   • В веб-интерфейсе KUMA выберите раздел Активы → выберите категорию с требуемыми активами → выберите актив.
   • В веб-интерфейсе KUMA выберите раздел Алерты → нажмите на ссылку с требуемым алертом → в разделе Связанные активы выберите актив.
   • В веб-интерфейсе KUMA выберите раздел События → выполните поиск и фильтрацию событий → выберите требуемое событие → нажмите на ссылку в поле DeviceExternalID.
2. В окне информации об активе нажмите на кнопку Переместить в группу KSC.
3. Нажмите на кнопку Переместить в группу KSC.
4. В открывшемся окне выберите группу.

   Выбранная группа должна принадлежать тому же тенанту, которому принадлежит актив.

5. Нажмите на кнопку Сохранить.

Выбранный актив будет перемещен.

Чтобы переместить несколько активов в выбранную группу администрирования:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. Выберите категорию с требуемыми активами.
3. Установите флажки рядом с активами, которые хотите переместить в группу.
4. Нажмите на кнопку Переместить в группу KSC.

   Кнопка активна, если все выбранные активы принадлежат одному серверу Администрирования.

5. В открывшемся окне выберите группу.
6. Нажмите на кнопку Сохранить.

Выбранные активы будут перемещены.

Вы можете посмотреть, к какой группе принадлежит актив, в информации об активе.

Сведения об активах Kaspersky Security Center обновляются в KUMA в момент импорта информации об активах из Kaspersky Security Center. Это означает, что может возникнуть ситуация, когда в Kaspersky Security Center активы были перемещены между группами администрирования, однако в KUMA эти сведения еще не отображаются. При попытке переместить такой актив в группу администрирования, в которой он уже находится, KUMA возвращает ошибку Не удалось переместить активы в другую группу KSC.

Аудит активов

В KUMA можно настроить создание событий аудита активов при следующих условиях:

• Актив добавлен в KUMA. Отслеживается создание актива вручную, а также создание при импорте через REST API, импорте из Kaspersky Security Center или KICS for Networks.
• Параметры актива изменены. Отслеживается изменение значение следующих полей актива:
  • Name
  • IP address
  • Mac Address
  • FQDN
  • Operating system

  Изменения полей может происходить при обновлении актива во время импорта.

• Актив удален из KUMA. Отслеживается удаление активов вручную, а также автоматическое удаление активов, импортированных из Kaspersky Security Center и KICS for Networks, данные о которых перестали поступать.
• Сведения об уязвимости добавлены в актив. Отслеживается появление у активов новых данных об уязвимостях. Сведения об уязвимостях могут быть добавлены в актив, например, при импорте активов из Kaspersky Security Center или KICS for Networks.
• Уязвимость актива закрыта. Отслеживается удаление из актива сведений об уязвимости. Уязвимость считается закрытой, если данные о ней перестают поступать из всех источников, из которых ранее были получены сведения о ее появлении.
• Актив добавлен в категорию. Отслеживается присвоении активу категории активов.
• Актив удален из категории. Отслеживается удаление актива из категории активов.

По умолчанию, если аудит активов включен, при описанных выше условиях в KUMA создаются не только события аудита (Type = 4), но и базовые события (Type = 1).

События аудита активов можно отправлять, например, на хранение или в корреляторы.

Настройка аудита активов

Чтобы настроить аудит активов:

1. Откройте раздел Параметры → Аудит активов веб-интерфейса KUMA.
2. Выполните одно из действий с тенантом, для которого вы хотите настроить аудит активов:
   • Добавьте тенант с помощью кнопки Добавить тенант, если аудит активов для требуемого тенанта настраивается впервые.

     В открывшемся окне Аудит активов выберите имя для нового тенанта.

   • Выберите существующий тенант в таблице, если аудит активов для требуемого тенанта уже был настроен.

     В открывшемся окне Аудит активов имя тенанта уже задано и редактировать его нельзя.

   • Клонируйте настройки существующего тенанта, чтобы создать копию конфигурации условий для тенанта, для которого вы хотите настроить аудит активов впервые. Для этого установите флажок напротив тенанта, конфигурацию которого требуется копировать, и нажмите Клонировать. В открывшемся окне Аудит активов выберите имя тенанта, в котором будет использована конфигурация исходного тенанта.
3. Выберите для каждого условия создания событий аудита активов, куда будут отправляться создаваемые события:
   1. В блоке параметров нужного типа событий аудита активов в раскрывающемся списке Добавить точку назначения выберите тип точки назначения, куда следует отправлять создаваемые события:
      • Выберите Хранилище, если хотите, чтобы события отправлялись в хранилище.
      • Выберите Коррелятор, если хотите, чтобы события отправлялись в коррелятор.
      • Выберите Другое, если хотите выбрать иную точку назначения.

        К этому типу относятся также сервисы коррелятора и хранилища, созданные в предыдущих версиях программы.

      Откроется окно Добавить точку назначения, где вам требуется параметры пересылки событий.

   2. В раскрывающемся списке Точка назначения выберите существующую точку назначения или выберите пункт Создать, если хотите создать новую точку назначения.

      При создании новой точки назначения заполните параметры, как указано в описании точки назначения.

   3. Нажмите Сохранить.

   Точка назначения добавлена к условию создания событий аудита активов. Для каждого условия можно добавить несколько точек назначения.

4. Нажмите Сохранить.

Аудит активов настроен. События аудита активов будут создаваться для тех условий, для которых были добавлены точки назначения. Нажмите Сохранить.

Хранение и поиск событий аудита активов

События аудита активов считаются базовыми и не заменяют собой событий аудита. События аудита активов можно искать по следующим параметрам:

Включение и выключение аудита активов

Можно включить или выключить аудит активов для тенанта:

Чтобы включить или выключить аудит активов для тенанта:

1. Откройте раздел Параметры → Аудит активов веб-интерфейса KUMA и выберите тенант, для которого которого вы хотите включить или выключить аудит активов.

   Откроется окно Аудит активов.

2. Установите или снимите в верхней части окна флажок Выключено.
3. Нажмите Сохранить.

По умолчанию при включенном аудите активов в KUMA при возникновении условия аудита одновременно создаются два типа событий: базовое событие и событие аудита.

Вы можете отключить создание базовых событий одновременно с событиями аудита.

Чтобы включить или выключить для отдельного условия создание базовых событий:

1. Откройте раздел Параметры → Аудит активов веб-интерфейса KUMA и выберите тенант, для которого которого вы хотите включить или выключить условие создания событий аудита активов.

   Откроется окно Аудит активов.

2. Установите или снимите напротив нужных условий флажок Выключено.
3. Нажмите Сохранить.

Для условий с установленным флажком Выключено будут создаваться только события аудита, а базовые события создаваться не будут.

Настраиваемые поля активов

В дополнение к существующим полям модели данных актива можно создать настраиваемые поля активов. Данные из настраиваемых полей активов отображаются при просмотре информации об активе. Данные в настраиваемые поля можно записывать вручную или через API.

Вы можете создать или изменить настраиваемые поля в веб-интерфейсе KUMA в разделе Параметры → Активы в таблице Настраиваемые поля. Таблица имеет следующие столбцы:

• Название – название настраиваемого поля, которое отображается при просмотре информации об активе.
• Значение по умолчанию – значение, которое записывается в настраиваемое поле при добавлении актива в KUMA.
• Маска – регулярное выражение, которому должно соответствовать значение, записываемое в поле.

Чтобы создать настраиваемое поле активов:

1. В разделе веб-интерфейса KUMA Параметры → Активы нажмите на кнопку Добавить поле.

   В таблице Настраиваемые поля добавится пустая строка. Вы можете добавить сразу несколько строк с параметрами настраиваемого поля.

2. Заполните столбцы с параметрами настраиваемого поля:
   • Название (обязательно) – от 1 до 128 символов в кодировке Unicode.
   • Значение по умолчанию – от 1 до 1024 символов в кодировке Unicode.
   • Маска – от 1 до 1024 символов в кодировке Unicode.
3. Нажмите Сохранить.

К модели данных активов добавлено настраиваемое поле.

Чтобы удалить или изменить настраиваемое поле активов:

1. Откройте раздел веб-интерфейса KUMA Параметры → Активы.
2. Сделайте необходимые изменения в таблице Настраиваемые поля:
   • Вы можете удалить настраиваемые поля, нажав на значок напротив строки с параметрами нужного поля. При удалении поля также удаляются записанные в это поле данные для всех активов.
   • Вы можете изменить значения параметров полей. При изменении значения по умолчанию уже записанные в поля активов данные не меняются.
   • Измените порядок отображения полей, перетягивая строки мышью за значок
3. Нажмите Сохранить.

Изменения внесены.

Активы критической информационной инфраструктуры

В KUMA можно помечать активы, относящиеся к критической информационной инфраструктуре (КИИ) Российской Федерации. Это позволяет ограничивать возможности пользователей KUMA по обращению с алертами и инцидентами, к которым относятся активы, относящиеся к объектам КИИ.

Присваивать активам КИИ-категорию можно, если в KUMA активна лицензия с модулем GosSOPKA.

Присвоить активу КИИ-категорию могут главные администраторы, а также пользователи, в профиле которых установлен флажок Доступ к объектам КИИ. Если ни одно из этих условий не выполнено, для пользователя действуют следующие ограничения:

• Не отображается блок параметров Категория КИИ в окнах Информация об активе и Изменить актив. Невозможно просмотреть или изменить КИИ-категорию актива.
• Не доступны для просмотра алерты и инциденты, к которым относятся активы с КИИ категорией. Над такими алертами и инцидентами невозможно производить никакие операции, в таблице алертов и инцидентов они не отображаются.
• Не отображается столбец КИИ в таблицах алертов и инцидентов.
• Недоступны операции поиска и закрытия алертов через REST API.

Категория КИИ актива отображается в окне Информация об активе в блоке параметров Категория КИИ.

Чтобы изменить КИИ-категорию актива:

1. В веб-интерфейсе KUMA в разделе Активы выберите нужный актив.

   Откроется окно Информация об активе.

2. Нажмите на кнопку Изменить и в раскрывающемся списке выберите одно из доступных значений:
   • Информационный ресурс не является объектом КИИ – значение по умолчанию, которое означает, что у актива нет категории КИИ. С таким активом, а также с алертами и инцидентами, к которым относится этот актив, могут взаимодействовать пользователи, у которых в профиле не установлен флажок Доступ к объектам КИИ.
   • Объект КИИ без категории значимости.
   • Объект КИИ третьей категории значимости.
   • Объект КИИ второй категории значимости.
   • Объект КИИ первой категории значимости.
3. Нажмите Сохранить.