Интеграция с Kaspersky Security Center

Вы можете настроить интеграцию с выбранными серверами Kaspersky Security Center для одного, нескольких или всех тенантов KUMA. Если интеграция с Kaspersky Security Center включена, вы можете импортировать информацию об активах, защищаемых этой программой, управлять активами с помощью задач, а также импортировать события из базы событий Kaspersky Security Center.

Предварительно вам требуется убедиться, что на требуемом сервере Kaspersky Security Center разрешено входящее соединение для сервера с KUMA.

Настройка интеграции KUMA с Kaspersky Security Center включает следующие этапы:

1. Создание в Консоли администрирования Kaspersky Security Center учетной записи пользователя

   Данные этой учетной записи используются при создании секрета для установки соединения с Kaspersky Security Center.

   Секрет (учетная роль в Kaspersky Security Center) для интеграции KUMA с Kaspersky Security Center следует создавать с учетом специфики иерархии Сервера Администрирования (наличие виртуальных серверов, особенности администрирования сервера и т.д.), типов устройств, которыми будет управлять Сервер Администрирования (ОС, тип: сервера, мобильные устройства и т.д.). Все эти нюансы регулируются и настраиваются на стороне Kaspersky Security Center.

   Список действий, которые можно совершать в KUMA над активами из Kaspersky Security Center:

   • Запуск задачи типа Обновление.
   • Запуск задачи типа Поиск вирусов.
   • Перемещение активов по группам Kaspersky Security Center.
   • Принятие обновлений ПО (для устранения уязвимости на активе в Kaspersky Security Center).

   Чтобы иметь возможность осуществить вышеперечисленные действия, можно использовать предустановленную учетную запись в Kaspersky Security Center с ролью Главный администратор. В таком случае не нужно будет добавлять вручную дополнительные разрешения.

   Также вы можете использовать предустановленную роль в Kaspersky Security Center - "Администратор Kaspersky Endpoint Security", при этом необходимо дополнительно проставить доступ к следующим функциям:

   1. Управление группами администрирования.
   2. Системное администрирование.

      Могут понадобиться какие-то дополнительные разрешения, исходя из конфигурации Kaspersky Security Center.

   Минимальные разрешения для интеграции с Kaspersky Security Center:

   - Access objects regardless of their ACLs — позволяет импортировать активы Kaspersky Security Center в KUMA.

   - Management of administration groups — позволяет перемещать активы между группами в Kaspersky Security Center из интерфейса KUMA.

   - Basic functionality — позволяет создавать и запускать задачи на хостах под управлением Kaspersky Endpoint Security.

   Подробнее о создании учетной записи и назначении прав пользователю см. в справке Kaspersky Security Center.

2. Создание секрета с типом credentials для соединения с Kaspersky Security Center
3. Настройка параметров интеграции с Kaspersky Security Center
4. Создание подключения к серверу Kaspersky Security Center для импорта информации об активах

   Если вы хотите импортировать в KUMA информацию об активах, зарегистрированных на серверах Kaspersky Security Center, вам требуется создать отдельное подключение к каждому серверу Kaspersky Security Center для каждого выбранного тенанта.

   Если для тенанта выключена интеграция или отсутствует подключение к Kaspersky Security Center, при попытке импорта информации об активах в веб-интерфейсе KUMA отобразится ошибка. Процесс импорта при этом не запускается.

Настройка параметров интеграции с Kaspersky Security Center

Чтобы настроить параметры интеграции с Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Включите или выключите интеграцию с Kaspersky Security Center для тенанта:
   • Если вы хотите включить интеграцию, снимите флажок Выключено.
   • Если вы хотите выключить интеграцию, установите флажок Выключено.

   По умолчанию флажок снят.

4. Укажите интервалы для автоматического импорта информации об активах и уязвимостях активов из Kaspersky Security Center, выполнив следующие действия:
   1. В поле KSC активы, информация об оборудовании введите интервал в часах для автоматического импорта информации об основных атрибутах активов (состоянии защиты, версии антивирусных баз, оборудовании). Вы можете указать только целое число. Значение по умолчанию – 1 (1 час).
   2. В поле Атрибуты активов KSC (уязвимости, программное обеспечение, владельцы) введите интервал в часах для автоматического импорта информации об остальных атрибутах активов (уязвимостях, программном обеспечении, владельцах). Вы можете указать только целое число. Значение по умолчанию – 12 (12 часов).

      Поскольку во время импорта информации об атрибутах активов (уязвимостях, программном обеспечении, владельцах) может загружаться большое количество данных и для его выполнения требуется более длительное время, рекомендуется задавать для него больший интервал, чем для импорта информации об оборудовании.

   При необходимости вы можете вручную импортировать информацию об активах и уязвимостях активов из Kaspersky Security Center.

5. Нажмите на кнопку Сохранить.

Параметры интеграции с Kaspersky Security Center для выбранного тенанта будут настроены.

Если в списке тенантов отсутствует требуемый тенант, вам нужно добавить тенант в список тенантов.

Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center

Чтобы добавить тенант в список тенантов для интеграции с Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Нажмите на кнопку Добавить тенант.

   Откроется окно Интеграция с Kaspersky Security Center.

3. В раскрывающемся списке Тенант выберите тенант, который вам требуется добавить.
4. Нажмите на кнопку Сохранить.

Выбранный тенант будет добавлен в список тенантов для интеграции с Kaspersky Security Center.

Создание подключения к Kaspersky Security Center

Чтобы создать подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите создать подключение к Kaspersky Security Center.
3. Нажмите на кнопку Добавить подключение и укажите значения для следующих параметров:
   • Название (обязательно) – имя подключения. Имя может включать от 1 до 128 символов в кодировке Unicode.
   • URL (обязательно) – URL сервера Kaspersky Security Center в формате hostname:port или IPv4:port.
   • В раскрывающемся списке Секрет выберите секрет с учетными данными Kaspersky Security Center или создайте новый секрет.
     1. Нажмите на значок плюса ().

        Откроется окно секрета.

     2. Введите данные секрета:
        1. В поле Название выберите имя для добавляемого секрета.
        2. В раскрывающемся списке Тенант выберите тенант, которому будут принадлежать учетные данные Kaspersky Security Center.
        3. В раскрывающемся списке Тип выберите credentials.
        4. В полях Пользователь и Пароль введите учетные данные вашего сервера Kaspersky Security Center.
        5. В поле Описание можно добавить описание секрета.
     3. Нажмите Сохранить.

     Выбранный секрет можно изменить, нажав на кнопку .

   • Выключено – состояние подключения к выбранному серверу Kaspersky Security Center. Если флажок установлен, подключение к выбранному серверу неактивно. В этом случае вы не можете использовать это подключение для соединения с сервером Kaspersky Security Center.

     По умолчанию флажок снят.

4. Если вы хотите, чтобы программа KUMA импортировала только активы, которые подключены к подчиненным серверам или включены в группы:
   1. Нажмите на кнопку Загрузить иерархию.
   2. Установите флажки рядом с именами подчиненных серверов и групп, из которых вы хотите импортировать информацию об активах.
   3. Если вы хотите импортировать активы только из новых групп, установите флажок Импортировать активы из новых групп.

   Если ни один флажок не установлен, при импорте выгружается информация обо всех активах выбранного сервера Kaspersky Security Center.

5. Нажмите на кнопку Сохранить.

Подключение к серверу Kaspersky Security Center будет создано. Его можно использовать для импорта информации об активах из Kaspersky Security Center в KUMA и для создания задач, связанных с активами, в Kaspersky Security Center из KUMA.

Изменение подключения к Kaspersky Security Center

Чтобы изменить подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Нажмите на подключение с Kaspersky Security Center, которое вы хотите изменить.

   Откроется окно с параметрами выбранного подключения к Kaspersky Security Center.

4. Измените значения необходимых параметров.
5. Нажмите на кнопку Сохранить.

Подключение к Kaspersky Security Center будет изменено.

Удаление подключения к Kaspersky Security Center

Чтобы удалить подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Выберите подключение Kaspersky Security Center, которое вы хотите удалить.
4. Нажмите на кнопку Удалить.

Подключение к Kaspersky Security Center будет удалено.

Импорт событий из базы Kaspersky Security Center

В KUMA можно получать события из SQL-базы Kaspersky Security Center. Получение событий производится с помощью коллектора, в котором используются следующие ресурсы:

• Предустановленный коннектор [OOTB] KSC MSSQL, [OOTB] KSC MySQL или [OOTB] KSC PostgreSQL.
• Предустановленный нормализатор [OOTB] KSC from SQL.

Настройка импорта событий из Kaspersky Security Center состоит из следующих шагов:

1. Создание копии предустановленного коннектора.

   Параметры предустановленного коннектора недоступны для редактирования, поэтому для настройки параметров подключения к серверу базы данных требуется создать копию предустановленного коннектора.

2. Создание коллектора:
   • В веб-интерфейсе.
   • На сервере.

Чтобы настроить импорт событий из Kaspersky Security Center:

1. Создайте копию предустановленного коннектора, соответствующего типу базы данных Kaspersky Security Center:
   1. В веб-интерфейсе KUMA в разделе Ресурсы → Коннекторы найдите в структуре папок нужный предустановленный коннектор, установите флажок рядом с этим коннектором и нажмите Дублировать.
   2. В открывшемся окне Создание коннектора на вкладке Основные параметры в поле Запрос по умолчанию при необходимости замените имя базы данных KAV на имя используемой вами базы данных Kaspersky Security Center.

      Пример запроса к SQL-базе Kaspersky Security Center

      SELECT ev.event_id AS externalId, ev.severity AS severity, ev.task_display_name AS taskDisplayName,

              ev.product_name AS product_name, ev.product_version AS product_version,

               ev.event_type As deviceEventClassId, ev.event_type_display_name As event_subcode, ev.descr As msg,

      CASE

              WHEN ev.rise_time is not NULL THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.rise_time )

                  ELSE ev.rise_time

              END

          AS endTime,

          CASE

              WHEN ev.registration_time is not NULL

                  THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.registration_time )

                  ELSE ev.registration_time

              END

          AS kscRegistrationTime,

          cast(ev.par7 as varchar(4000)) as sourceUserName,

          hs.wstrWinName as dHost,

          hs.wstrWinDomain as strNtDom, serv.wstrWinName As kscName,

              CAST(hs.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

          CAST(hs.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

          CAST(hs.nIp / 256 % 256 AS VARCHAR) + '.' +

          CAST(hs.nIp % 256 AS VARCHAR) AS sourceAddress,

          serv.wstrWinDomain as kscNtDomain,

              CAST(serv.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

          CAST(serv.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

          CAST(serv.nIp / 256 % 256 AS VARCHAR) + '.' +

          CAST(serv.nIp % 256 AS VARCHAR) AS kscIP,

          CASE

          WHEN virus.tmVirusFoundTime is not NULL

                  THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),virus.tmVirusFoundTime )

                  ELSE ev.registration_time

              END

          AS virusTime,

          virus.wstrObject As filePath,

          virus.wstrVirusName as virusName,

          virus.result_ev as result

      FROM KAV.dbo.ev_event as ev

      LEFT JOIN KAV.dbo.v_akpub_host as hs ON ev.nHostId = hs.nId

      INNER JOIN KAV.dbo.v_akpub_host As serv ON serv.nId = 1

      Left Join KAV.dbo.rpt_viract_index as Virus on ev.event_id = virus.nEventVirus

      where registration_time >= DATEADD(minute, -191, GetDate())

   3. Установите курсор в поле URL и в раскрывшемся списке в строке используемого секрета нажмите на значок .
   4. В открывшемся окне Секрет в поле URL укажите адрес для подключения к серверу в следующем формате:

      sqlserver://user:password@kscdb.example.com:1433/database

      где:

      • user – учетная запись с правами public и db_datareader к нужной базе данных;
      • password – пароль учетной записи;
      • kscdb.example.com:1433 – адрес и порт сервера базы данных;
      • database – название базы данных Kaspersky Security Center. По умолчанию – KAV.

      Нажмите Сохранить.

   5. В окне Создание коннектора в разделе Подключение в поле Запрос при необходимости замените имя базы данных KAV на имя используемой вами базы данных Kaspersky Security Center.

      Это действие нужно выполнять, если вы планируете использовать столбец идентификатора, к которому относится запрос.

      Нажмите Сохранить.

2. Установите коллектор в веб-интерфейсе:
   1. Запустите мастер установки коллектора одним из следующих способов:
      • В веб-интерфейсе KUMA в разделе Ресурсы нажмите Подключить источник.
      • В веб-интерфейсе KUMA в разделе Ресурсы → Коллекторы нажмите Добавить коллектор.
   2. На шаге 1 Подключение источников в мастере установки укажите название коллектора и выберите тенант.
   3. На шаге 2 Транспорт в мастере установки выберите созданную на шаге 1 копию коннектора.
   4. На шаге 3 Парсинг событий в мастере установки на вкладке Схемы парсинга нажмите Добавить парсинг событий.
   5. В открывшемся окне Основной парсинг событий на вкладке Схема нормализации в раскрывающемся списке Нормализатор выберите [OOTB] KSC from SQL и нажмите OK.
   6. При необходимости укажите остальные параметры в соответствии с вашими требованиями к коллектору. Для импорта событий настройка параметров на остальных шагах мастера установки не обязательна.
   7. На шаге 8 Проверка параметров в мастере установки нажмите Сохранить и создать сервис.

      В нижней части окна отобразится команда, которая понадобится для установки коллектора на сервере. Скопируйте эту команду.

   8. Закройте мастер установки коллектора, нажав Сохранить коллектор.
3. Установите коллектор на сервере.

   Для этого на сервере, предназначенном для получения событий Kaspersky Security Center, выполните команду, скопированную после создания коллектора в веб-интерфейсе.

В результате коллектор будет установлен и сможет принимать события из SQL-базы Kaspersky Security Center.

Вы можете просмотреть события Kaspersky Security Center в разделе веб-интерфейса События.