Содержание
Работа в режиме иерархии
KUMA, развернутые в разных организациях, могут быть объединены в иерархическую структуру. Взаимодействие родительских и дочерних KUMA (или узлов) предоставляет следующие возможности:
- Родительские узлы KUMA получают от дочерних узлов KUMA данные о других потомках. Это позволяет родительскому узлу видеть свою ветвь иерархического дерева.
- Родительские узлы KUMA получают от потомков данные об инцидентах и, если дочерний узел включил соответствующие настройки, данные о связанных с инцидентами алертах и событиях.
- Дочерние узлы KUMA не получают данные о вышестоящих узлах, за исключением сведений о своем родительском узле KUMA.
Родительский и дочерний узлы взаимодействуют через API. Для аутентификации используются самоподписанные сертификаты, которыми администраторы родительской и дочерней организаций должны обменяться по защищенными каналам связи при подключении узлов друг к другу.
Один родительский узел может иметь более одного дочернего узла. Дочерний узел может быть подключен только к одному родительскому узлу. Родительский узел не может быть дочерним узлом своих потомков.
Пользователи с ролью главный администратор могут настроить режим иерархии в веб-интерфейсе KUMA в разделе Параметры → Иерархия:
- На закладке Профиль узла можно настроить профиль вашего узла, создать сертификат, а также включить и выключить режим иерархии.
- На закладке Структура можно просматривать доступную вам ветвь иерархического дерева, изменять подключенные узлы или отключать их.
- На обеих закладках можно подключать узлы – родительский и дочерние.
Инциденты дочерних узлов могут просматривать пользователи всех ролей в веб-интерфейсе KUMA в разделе Инциденты. В инцидентах можно получить сведения о связанных с ними алертах, событиях, активах и пользователях.
Первое включение режима иерархии
При первом включении режима иерархии необходимо заполнить профиль своего узла.
Чтобы заполнить профиль своего узла:
- Откройте в веб-интерфейсе KUMA раздел Параметры → Иерархия → Профиль узла.
- В поле Название организации укажите название своей организации (1–128 символов). Это название будет использоваться в качестве названия вашего узла в иерархии.
Для изменения названия организации потребуется пересоздать сертификат вашего узла и заменить его на узлах, к которым вы подключены.
- В поле FQDN укажите FQDN своего узла.
- При необходимости в раскрывающемся списке Прокси-сервер выберите прокси-сервер, который требуется использовать для обращения к другим узлам. Прокси-сервер можно создать с помощью кнопки
. Выбранный прокси-сервер можно изменить, нажав на кнопку 
.В URL прокси-сервера можно указывать учетные данные только с использованием следующих символов: буквы латинского алфавита, цифры, специальные символы ("-", ".", "_", ":", "~", "!", "$", "&", "\", "(", ")", "*", "+", ",", ";", "=", "%", "@"). URL в параметрах прокси-сервера указывается с помощью секрета: он выбирается в раскрывающемся списке Брать URL из секрета.
- Нажмите Создать сертификат.
Профиль вашего узла KUMA заполнен и режим иерархии включен. При включении режима иерархии автоматически создается сертификат, используемый для аутентификации вашего узла. С помощью значка 
вы можете скачать сертификат, чтобы затем передать его по защищенному каналу связи другим узлам для создания соединения.
Создание сертификата узла
Для аутентификации узлов иерархии используются самоподписанные сертификаты узлов. Сертификат содержит название организации и ее FQDN.
Сертификат создается при включении режима иерархии, но вы можете пересоздать сертификат. Сертификат необходимо пересоздать при изменении названия узла или его FQDN.
Чтобы создать сертификат узла:
- Откройте раздел веб-интерфейс KUMA Параметры → Иерархия → Профиль узла.
Откроется окно с параметрами вашего узла в иерархии.
- Нажмите на кнопку Создать сертификат.
Откроется окно создания сертификата.
- В поле FQDN укажите FQDN своего узла.
- В поле Название организации укажите название своей организации (1–128 символов). Это название будет использоваться в качестве названия вашего узла в иерархии.
- Закройте окно, нажав Сохранить.
Сертификат узла создан. Его можно скачать, нажав на значок , и передать по защищенному каналу связи другим узлам для создания соединения.
Соединение узлов в иерархическую структуру
Перед соединением узлов следует убедиться, что на них включен режим иерархии, настроены профили узлов и созданы сертификаты узлов. Родительский и дочерний узлы должны обменяться своими сертификатами по защищенным каналам связи.
Соединение узлов иерархии необходимо выполнить в следующем порядке:
- Подключить дочерний узел к родительскому узлу. Необходимо добавить сертификат родительского узла на вкладке Подключиться к родительскому узлу.
- Родительский узел подключить к дочернему узлу. Необходимо добавить сертификат дочернего узла на вкладке Подключить дочерний узел.
Перед соединением узлов убедитесь, что системное время на машинах синхронизируется с NTP-сервером. См. подробнее для Oracle Linux и для Astra Linux Special Edition.
Когда соединение установлено, родительский узел каждые 5 минут запрашивает у дочерних узлов имеющиеся у них сведения об иерархии, выстраивая таким образом структуру доступной для себя ветви иерархического дерева. Эти данные отображаются в разделе веб-интерфейса KUMA Параметры → Иерархия → Структура после обновления веб-страницы.
Сведения об иерархической структуре можно принудительно обновить в помощью кнопки Обновить структуру. Для отображения обновленных данных необходимо обновить страницу веб-браузера.
Подключение к родительскому узлу
Чтобы подключиться к родительскому узлу:
- Откройте раздел веб-интерфейс KUMA Параметры → Иерархия и нажмите на кнопку Подключиться к родительскому узлу.
Откроется окно Подключение к родительскому узлу.
- Загрузите в KUMA сертификат родительского узла с помощью кнопки Загрузить сертификат.
В окне отобразится описание сертификата с указанием выпустившей его организации и ее FQDN.
- При необходимости в поле Порт укажите порт для доступа к родительскому узлу.
- Нажмите Сохранить.
Вы подключились к родительскому узлу. Он теперь может добавить ваш узел в качестве дочернего, чтобы получать данные о ваших дочерних узлах и просматривать ваши инциденты.
В началоПодключение дочернего узла
Если вы подключили родительский узел, вы сможете добавить дочерние узлы только после того, как ваш родительский узел добавит вас в качестве дочернего узла. Перед подключением дочернего узла убедитесь, что он добавил ваш узел в качестве родительского.
Чтобы подключить дочерний узел:
- Откройте раздел веб-интерфейс KUMA Параметры → Иерархия и нажмите на кнопку Подключить дочерний узел.
Откроется окно Подключение дочернего узла.
- Загрузите в KUMA сертификат дочернего узла с помощью кнопки Загрузить сертификат.
В окне отобразится описание сертификата с указанием выпустившей его организации и ее FQDN.
- При необходимости в поле Порт укажите порт для доступа к дочернему узлу.
- Нажмите Сохранить.
Дочерний узел добавлен и отображается на закладке Параметры → Иерархия → Структура. На этой же закладке отображаются потомки дочернего узла. Вы можете просматривать инциденты своих дочерних узлов и их потомков.
В началоОтключение от узла
Вы можете отключиться от родительского или дочернего узла. Невозможно отключиться от узлов, которые являются потомками ваших дочерних узлов.
Чтобы отключиться от узла:
- Откройте раздел веб-интерфейс KUMA Параметры → Иерархия и перейдите на закладку Структура.
Отобразится иерархическая структура.
- Выберите узел, от которого вы хотите отключиться.
В правой части окна отобразится область деталей со сведениями об узле.
- Нажмите Отключить.
Вы отключились от узла. Если вы отключились от родительского узла, он больше не получает данные о ваших дочерних узлах и инцидентах. Если вы отключились от дочернего узла, вы больше не получаете данные о его дочерних узлах и его инцидентах.
В началоИзменение узла
Если название и/или FQDN узла изменились, этот узел должен перевыпустить сертификат, после чего необходимо повторить процедуру соединения узлов. Устаревшие узлы необходимо отключить.
Порт подключения к узлам можно изменить в области деталей узла, не перевыпуская сертификат.
Чтобы изменить параметры подключения к узлу:
- Откройте в веб-интерфейсе KUMA в разделе Параметры → Иерархия закладку Структура и выберите требуемый узел.
В правой части окна отобразится область деталей узла.
- В поле Порт укажите требуемый порт.
- Измените настройки почтовых оповещений о появлении инцидентов на дочернем узле:
- Если требуется выключить оповещения, снимите флажок Отслеживание инцидентов.
- Если требуется включить оповещения, установите флажок Отслеживание инцидентов и добавьте с помощью поля ввода требуемые адреса электронной почты.
Для отправки почтовых уведомлений требуется настроить подключение к SMTP-серверу.
- Нажмите Сохранить
Параметры подключения к узлу изменены.
В началоОшибки при подключении узлов
Ошибки, возникающие при подключении узлов, в веб-интерфейсе KUMA могут отображаться не полностью. Полный ответ сервера можно просмотреть в консоли разработчика используемого вами браузера.
В таблице ниже перечислены ошибки, которые могут возникнуть при соединении узлов KUMA в иерархию, а также рекомендации по их устранению.
Ошибки, возникающие при установлении подключения к узлу, отображаются во всплывающих окнах в нижней части экрана. Ошибки в уже подключенных узлах можно просмотреть в разделе веб-интерфейса KUMA Параметры → Иерархия → Структура: текст ошибки отображается, если навести указатель мыши на значок красного треугольника рядом с узлом, в работе с которым произошла ошибка.
Сообщение об ошибке |
Возможная причина возникновения ошибки |
Рекомендация по устранению |
|
Отказано в соединении. Произошла попытка добавить дочерний узел, который не добавил сертификат родительского узла. |
|
|
Из узлов KUMA невозможно выстроить циклическую структуру. |
Удостоверьтесь, что иерархическая структура, которую вы хотите выстроить, является древовидной. |
|
Некорректный сертификат. |
Необходимо проверить файл сертификата. |
|
Соединение не было установлено из-за превышения времени ожидания отклика. |
Проверить включена ли машина дочернего узла. |
|
Отказано в соединении из-за недействительного сертификата. |
|
|
Отказано в соединении из-за недействительного сертификата. |
Убедиться в актуальности сертификата родительского узла. |
|
В сертификате дочернего узла несуществующий FQDN. |
Убедиться в актуальности сертификата дочернего узла. |
|
Такой узел уже существует в структуре. |
Проверьте иерархическую структуру, которую вы хотите построить. |
|
|
Не подключать родительский узел, который является дочерним узлом в этой иерархии. |
|
Дочерний узел удалил родителя. |
Необходимо, чтобы дочерний узел подключил родительский узел. |
|
В настройках подключения узлов указаны неверные порты. |
Убедиться, что в настройках узла указан верный порт и используется действительный сертификат. |
|
Осуществляется подключение к узлу с некорректными настройками прокси-сервера. |
Убедиться в корректности настроек прокси-сервера. |
Просмотр своей ветви иерархии и доступных узлов
В веб-интерфейсе KUMA в разделе Параметры → Иерархия на закладке Структура можно просмотреть вашу ветвь иерархического дерева от родительского узла до всех потомков дочерних узлов. Ваш узел в иерархии подсвечен зеленым.
При нажатии на узел ветви в правой части окна открывается область деталей узла, в которой можно выполнить следующие действия:
- Изменить порт подключения к родительскому или дочернему узлу.
- Отключить родительский или дочерний узел.
- Изменить настройки почтовых уведомлений об инцидентах для дочерних узлов и их потомков.
Изменение профиля узла
Вы можете изменить параметры профиля своего узла.
Чтобы изменить параметры вашего узла:
- Откройте в веб-интерфейсе KUMA раздел Параметры → Иерархия → Профиль узла.
- При необходимости в раскрывающемся списке Прокси-сервер выберите прокси-сервер, который требуется использовать для обращения к другим узлам. Прокси-сервер можно создать с помощью кнопки . Выбранный прокси-сервер можно изменить, нажав на кнопку .
В URL прокси-сервера можно указывать учетные данные только с использованием следующих символов: буквы латинского алфавита, цифры, специальные символы ("-", ".", "_", ":", "~", "!", "$", "&", "\", "(", ")", "*", "+", ",", ";", "=", "%", "@"). URL в параметрах прокси-сервера указывается с помощью секрета: он выбирается в раскрывающемся списке Брать URL из секрета.
- При необходимости в поле Порт укажите порт, используемый для доступа к вашему узлу. Убедитесь, что доступ к порту не закрыт.
- При необходимости в поле Время ожидания укажите, сколько секунд необходимо ожидать ответа узлов при попытке соединения. Значение по умолчанию – 60.
- При необходимости установите или снимите флажки Не включать события в инциденты, отправляемые в родительский узел и Не включать алерты в инциденты, отправляемые в родительский узел. По умолчанию эти флажки сняты.
- Нажмите Сохранить.
Параметры вашего узла изменены.
Если вы хотите изменить FQDN или название своего узла, пересоздайте сертификат узла.
В началоПросмотр инцидентов от дочерних узлов
Если режим иерархии включен, вы можете просмотреть инциденты, созданные на дочерних узлах и их потомках, в разделе Инциденты. В таблице инцидентов отображается столбец Ветвь, с помощью которого можно фильтровать инциденты по узлам, в которых они были созданы. По умолчанию в таблице инцидентов отображаются инциденты, созданные на вашем узле.
Чтобы выбрать узлы, инциденты которых вы хотите просмотреть:
- Откройте в веб-интерфейсе KUMA раздел Инциденты.
- Нажмите на заголовок столбца Ветвь и в открывшемся окне нажмите на значок
.В правой части окна отобразится область деталей с иерархической структурой организаций. С помощью кнопки
можно раскрыть или скрыть все ветви структуры, а также выбрать все узлы KUMA. - Выберите требуемые узлы и нажмите Сохранить.
В таблице инцидентов отображаются инциденты, созданные на выбранных вами узлах.
При нажатии на инцидент открывается окно с подробными данными об инциденте. Данные доступны только для чтения, инцидент с другого узла невозможно изменить или обработать.
Особенности просмотра данных об инциденте, созданном на другом узле:
- Раздел окна инцидента Связанные алерты содержит сведения, только если на дочернем узле настроена передача в родительский узел данных об относящихся к инцидентам алертах.
При нажатии на название относящегося к инциденту алерта открывается окно с подробными данными об этом алерте. Эти данные также доступны только для чтения, алерт другого узла невозможно изменить или обработать.
- Раздел Связанные события в окне алерта, относящегося к инциденту другого узла, содержит сведения, только если на дочернем узле настроена передача в родительский узел данных об относящихся к инцидентам событиях.
В этом случае с помощью кнопки Найти в событиях можно открывать таблицу событий и искать нужные события. При этом вы не можете выбрать хранилище, а на SQL-запросы налагаются ограничения поиска событий в режиме расследование алерта. В этом режиме действует обогащение данных (например, с помощью Kaspersky Threat Intelligence Portal, Kaspersky CyberTrace или Active Directory). На родительских узлах недоступны результаты обогащения данными Kaspersky Threat Intelligence Portal, сделанные на дочерних узлах.
Включение и выключение режима иерархии
Чтобы включить или выключить режим иерархии:
- Откройте в веб-интерфейсе KUMA раздел Параметры → Иерархия → Профиль узла.
- Включите или выключите режим иерархии:
- Если вы хотите включить режим иерархии, снимите флажок Выключено.
- Если вы хотите выключить режим иерархии, установите флажок Выключено.
- Нажмите Сохранить.
Режим иерархии включен или выключен.
В начало