Работа с задачами Kaspersky Security Center

Вы можете подключить активы Kaspersky Security Center к KUMA и загружать на эти активы обновления баз и программных модулей или запускать на них антивирусную проверку с помощью задач Kaspersky Security Center. Задачи запускаются в веб-интерфейсе KUMA.

Для запуска задач Kaspersky Security Center на активах, подключенных к KUMA, рекомендуется использовать следующий сценарий:

1. Создание в Консоли администрирования Kaspersky Security Center учетной записи пользователя

   Данные этой учетной записи используются при создании секрета для установки соединения с Kaspersky Security Center и могут использоваться при создании задачи.

   Подробнее о создании учетной записи и назначении прав пользователю см. в справке Kaspersky Security Center.

2. Создание задач в Kaspersky Security Center
3. Настройка интеграции KUMA с Kaspersky Security Center
4. Импорт информации об активах Kaspersky Security Center в KUMA
5. Назначение категории импортированным активам

   После импорта активы автоматически помещаются в группу Устройства без категории. Вы можете назначить импортированным активам одну из существующих категорий или создать категорию и назначить ее активам.

6. Запуск задач на активах

   Вы можете запускать задачи вручную в информации об активе или настроить автоматический запуск задач.

О создании задач KUMA в Kaspersky Security Center

Вы можете запустить на активах Kaspersky Security Center, подключенных к KUMA, задачу обновления антивирусных баз и модулей программы и задачу антивирусной проверки. На активах должны быть установлены программы Kaspersky Endpoint Security для Windows или Linux. Задачи создаются в Kaspersky Security Center Web Console.

Подробнее о создании задач Обновление и Антивирусная проверка на активах с Kaspersky Endpoint Security для Windows см. в справке Kaspersky Endpoint Security для Windows.

Подробнее о создании задач Обновление и Антивирусная проверка на активах с Kaspersky Endpoint Security для Linux см. в справке Kaspersky Endpoint Security для Linux.

Название задач должно начинаться с "kuma" (без учета регистра и без кавычек). Например, KUMA antivirus check. В противном случае задача не отображается в списке доступных задач в веб-интерфейсе KUMA.

Запуск задач Kaspersky Security Center вручную

Вы можете вручную запускать на активах Kaspersky Security Center, подключенных к KUMA, задачу обновления антивирусных баз и модулей программы и задачу антивирусной проверки. На активах должны быть установлены программы Kaspersky Endpoint Security для Windows или Linux.

Предварительно вам нужно настроить интеграцию Kaspersky Security Center с KUMA и создать задачи в Kaspersky Security Center.

Чтобы запустить задачу Kaspersky Security Center вручную:

1. В разделе Активы веб-интерфейса KUMA выберите актив, импортированный из Kaspersky Security Center.

   Откроется окно Информация об активе.

2. Нажмите на кнопку Реагирование KSC.

   Кнопка отображается, если подключение к Kaspersky Security Center, к которому принадлежит выбранный актив, включено.

3. В открывшемся окне Выберите задачу установите флажки рядом с задачами, которые вы хотите запустить, и нажмите на кнопку Запустить.

Kaspersky Security Center запускает выбранные задачи.

Некоторые типы задач доступны только для определенных активов.

Информация об уязвимостях и программном обеспечении доступна только для активов с операционной системой Windows.

Автоматический запуск задач Kaspersky Security Center

Вы можете настроить автоматический запуск задачи обновления антивирусных баз и модулей программы и задачи антивирусной проверки на активах Kaspersky Security Center, подключенных к KUMA. На активах должны быть установлены программы Kaspersky Endpoint Security для Windows или Linux.

Предварительно вам нужно настроить интеграцию Kaspersky Security Center с KUMA и создать задачи в Kaspersky Security Center.

Настройка автоматического запуска задач Kaspersky Security Center включает следующие этапы:

Шаг 1. Добавление правила корреляции

Чтобы добавить правило корреляции:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Правила корреляции и нажмите на кнопку Добавить правило корреляции.
3. На закладке Общие укажите следующие параметры:
   1. В поле Название укажите название правила.
   2. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
   3. В раскрывающемся списке Тип выберите simple.
   4. В поле Наследуемые поля добавьте следующие поля: DestinationAssetID.
   5. При необходимости укажите значения для следующих полей:
      • В поле Частота срабатывания укажите максимальное количество срабатываний правила в секунду.
      • В поле Уровень важности укажите уровень важности алертов и корреляционных событий, которые будут созданы в результате срабатывания правила.
      • В поле Описание укажите любую дополнительную информацию.
4. На закладке Селекторы → Параметры выполните следующие действия:
   1. В раскрывающемся списке Фильтр выберите Создать.
   2. В поле Условия нажмите на кнопку Добавить группу.
   3. В поле с оператором для добавленной группы выберите И.
   4. Добавьте условие для фильтрации по значению поля DeviceProduct:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле события выберите DeviceProduct.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите KSC.
   5. Добавьте условие для фильтрации по значению поля Name:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле события выберите Name.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите имя события, при обнаружении которого вы хотите автоматически запускать задачу.

         Например, если вы хотите, чтобы задача Антивирусная проверка запускалась при регистрации событий Kaspersky Security Center Обнаружен вредоносный объект, вам нужно указать в поле значение это имя.

         Имя события можно посмотреть в поле Name в информации о событии.

5. На закладке Действия укажите следующие параметры:
   1. В разделе Действия откройте раскрывающийся список На каждом событии.
   2. Установите флажок Отправить на дальнейшую обработку.

      Другие поля заполнять не требуется.

6. Нажмите на кнопку Сохранить.

Правило корреляции будет создано.

Шаг 2. Создание коррелятора

Вам нужно запустить мастер установки коррелятора. На шаге 3 мастера вам требуется выбрать правило корреляции, добавленное при выполнении этой инструкции.

В поле DeviceHostName должно отображаться доменное имя (FQDN) актива. Если оно не отображается, вам нужно создать запись для этого актива в системе DNS и на шаге 4 мастера создать правило обогащения с помощью DNS.

Шаг. 3. Добавление фильтра

Чтобы добавить фильтр:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Фильтры и нажмите на кнопку Добавить фильтр.
3. В поле Название укажите название фильтра.
4. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
5. В поле Условия нажмите на кнопку Добавить группу.
6. В поле с оператором для добавленной группы выберите И.
7. Добавьте условие для фильтрации по значению поля DeviceProduct:
   1. В поле Условия нажмите на кнопку Добавить условие.
   2. В поле с условием выберите Если.
   3. В поле Левый операнд выберите поле события.
   4. В поле события выберите Type.
   5. В поле оператор выберите =.
   6. В поле Правый операнд выберите константа.
   7. В поле значение введите 3.
8. Добавьте условие для фильтрации по значению поля Name:
   1. В поле Условия нажмите на кнопку Добавить условие.
   2. В поле с условием выберите Если.
   3. В поле Левый операнд выберите поле события.
   4. В поле события выберите Name.
   5. В поле оператор выберите =.
   6. В поле Правый операнд выберите константа.
   7. В поле значение введите имя правила корреляции, созданного на шаге 1.

Шаг 4. Добавление правила реагирования

Чтобы добавить правило реагирования:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Правила реагирования и нажмите на кнопку Добавить правило реагирования.
3. В поле Название укажите название правила.
4. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
5. В раскрывающемся списке Тип выберите Реагирование через KSC.
6. В раскрывающемся списке Задача Kaspersky Security Center выберите задачу Kaspersky Security Center, которую требуется запустить.
7. В раскрывающемся списке Поле события выберите DestinationAssetID.
8. В поле Рабочие процессы укажите количество процессов, которые сервис может запускать одновременно.

   По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис коррелятора.

• В поле Описание вы можете добавить до 4000 символов в кодировке Unicode.
• В раскрывающемся списке Фильтр выберите фильтр, добавленный на шаге 3 этой инструкции.

Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.

Если правила реагирования принадлежат общему тенанту, то в качестве доступных для выбора задач Kaspersky Security Center отображаются задачи от сервера Kaspersky Security Center, к которому подключен главный тенант.

Если в правиле реагирования выбрана задача, которая отсутствует на сервере Kaspersky Security Center, к которому подключен тенант, для активов этого тенанта задача не будет выполнена. Такая ситуация может возникнуть, например, когда два тенанта используют общий коррелятор.

Шаг 5. Добавление правила реагирования в коррелятор

Чтобы добавить правило реагирования в коррелятор:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Корреляторы.
3. В списке корреляторов выберите коррелятор, добавленный на шаге 2 этой инструкции.
4. В дереве шагов выберите Правила реагирования.
5. Нажмите на кнопку Добавить.
6. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 4 этой инструкции.
7. В дереве шагов выберите Проверка параметров.
8. Нажмите на кнопку Сохранить и перезапустить сервисы.
9. Нажмите на кнопку Сохранить.

Правило реагирования будет добавлено в коррелятор.

Автоматический запуск задачи обновления антивирусных баз и модулей программы или задачи антивирусной проверки на активах Kaspersky Security Center, подключенных к KUMA, будет настроен. Задачи запускаются при обнаружении угрозы на активах и получении KUMA соответствующих событий.

Проверка статуса задач Kaspersky Security Center

В веб-интерфейсе KUMA можно проверить, была ли запущена задача Kaspersky Security Center или завершен ли поиск событий из коллектора, который прослушивает события Kaspersky Security Center.

Чтобы выполнить проверку статуса задач Kaspersky Security Center:

1. Выберите раздел KUMA Ресурсы → Активные сервисы.
2. Выберите коллектор, настроенный на получение событий с сервера Kaspersky Security Center, и нажмите на кнопку Перейти к событиям.

Откроется новая закладка браузера в разделе События KUMA. В таблице отобразятся события с сервера Kaspersky Security Center. Статус задач отображается в столбце Название.

Поля событий Kaspersky Security Center:

• Name (Название) – статус или тип задачи.
• Message (Сообщение) – сообщение о задаче или событии.
• FlexString<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, полученного от Kaspersky Security Center. Например, FlexString1Label=TaskName.
• FlexString<номер> (Настраиваемое поле <номер>) – значение атрибута, указанного в поле поля FlexString<номер>Label. Например, FlexString1=Download updates.
• DeviceCustomNumber<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, относящегося к состоянию задачи. Например, DeviceCustomNumber1Label=TaskOldState.
• DeviceCustomNumber<номер> (Настраиваемое поле <номер>) – значение, относящееся к состоянию задачи. Например, DeviceCustomNumber1=1 означает, что задача выполняется.
• DeviceCustomString<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, относящегося к обнаруженной уязвимости: например, название вируса, уязвимого приложения.
• DeviceCustomString<номер> (Настраиваемое поле <номер>) – значение, относящееся к обнаруженной уязвимости. Например, пары атрибут-значение DeviceCustomString1Label=VirusName и DeviceCustomString1=EICAR-Test-File означают, что обнаружен тестовый вирус EICAR.