Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

[Topic 217934]

Вход в веб-интерфейс программы

Чтобы войти в веб-интерфейс программы:

  1. В браузере введите следующий адрес:

    https://<IP-адрес или FQDN сервера Ядра KUMA>:7220

    Откроется страница авторизации веб-интерфейса с запросом на ввод логина и пароля учетной записи.

  2. В поле Логин введите логин учетной записи.
  3. В поле Пароль введите пароль указанной учетной записи.
  4. Нажмите на кнопку Логин.

Откроется главное окно веб-интерфейса программы.

В режиме мультитенантности при первом входе в веб-интерфейс программы пользователю отображаются данные только для тех тенантов, которые были выбраны для него при создании его учетной записи.

Чтобы выйти из веб-интерфейса программы,

откройте веб-интерфейс KUMA, в левом нижнем углу окна нажмите на имя учетной записи пользователя и в открывшемся меню учетной записи нажмите на кнопку Выход.

В начало
[Topic 218007]

Просмотр метрик KUMA

Полная информация о рабочих характеристиках Ядра, коллекторов, корреляторов и хранилищ KUMA доступна в разделе Метрики веб-интерфейса KUMA. При выборе этого раздела открывается автоматически обновляемый портал Grafana, развернутый во время установки Ядра KUMA. Если в разделе Метрики вы видите core:<номер порта>, это означает, что KUMA развернута в отказоустойчивой конфигурации и метрики получены с хоста, на котором было установлено Ядро. В прочих конфигурациях отображается имя хоста, с которого KUMA получает метрики.

Чтобы определить, на каком хосте работает Ядро, в терминале одного из контроллеров выполните следующую команду:

k0s kubectl get pod -n kuma -o wide

Логин и пароль Grafana по умолчанию: admin и admin.

Доступные показатели метрик

Показатели коллекторов:

  • IO (Ввод-вывод) – метрики, относящиеся к вводу и выводу сервиса.
    • Processing EPS (Обрабатываемые события в секунду) – количество обрабатываемых событий в секунду.
    • Processing Latency (Время обработки события) – время, необходимое для обработки одного события (отображается медиана).
    • Output EPS (Вывод событий) – количество событий, отправляемых в точку назначения за секунду.
    • Output Latency (Задержка вывода) – время, необходимое для отправки пакета событий в пункт назначения и получения от него ответа (отображается медиана).
    • Output Errors (Ошибки вывода) – количество ошибок при отправке пакетов событий в пункт назначения в секунду. Сетевые ошибки и ошибки записи в дисковый буфер отображаются отдельно.
    • Output Event Loss (Потеря событий) – количество потерянных событий в секунду. События могут быть потеряны из-за сетевых ошибок или ошибок записи в дисковый буфер. События также теряются, если место назначения ответило кодом ошибки (например, если запрос был недействительным).
  • Normalization (Нормализация) – показатели, относящиеся к нормализаторам.
    • Raw & Normalized event size (Размер сырых и нормализованных событий) – размер необработанного события и размер нормализованного события (отображается медиана).
    • Errors (Ошибки) – количество ошибок нормализации в секунду.
  • Filtration (Фильтрация) – показатели, относящиеся к фильтрам.
    • EPS (События, обрабатываемые в секунду) – количество событий, удовлетворяющих условиям фильтра и отправленных в обработку за секунду. Коллектор обрабатывает события, удовлетворяющие условиям фильтра, только если пользователь добавил фильтр в конфигурацию сервиса коллектора.
  • Aggregation (Агрегация) – показатели, относящиеся к правилам агрегации.
    • EPS (События, обрабатываемые в секунду) – количество событий, полученных и созданных правилом агрегации за секунду. Этот показатель помогает определить эффективность правил агрегации.
    • Buckets (Контейнеры) – количество контейнеров в правиле агрегации.
  • Enrichment (Обогащение) – показатели, относящиеся к правилам обогащения.
    • Cache RPS (Запросы к кешу в секунду) – количество запросов к локальному кешу в секунду.
    • Source RPS (Запросы к источнику в секунду) – количество запросов к источнику обогащения (например, к словарю).
    • Source Latency (Задержка источника) – время, необходимое для отправки запроса к источнику обогащения и получения от него ответа (отображается медиана).
    • Queue (Очередь) – размер очереди запросов на обогащение. Эта метрика помогает найти "узкие места" в правилах обогащения.
    • Errors (Ошибки) – количество ошибок запроса источника обогащения в секунду.

Показатели корреляторов

  • IO (Ввод-вывод) – метрики, относящиеся к вводу и выводу сервиса.
    • Processing EPS (Обрабатываемые события в секунду) – количество обрабатываемых событий в секунду.
    • Processing Latency (Время обработки события) – время, необходимое для обработки одного события (отображается медиана).
    • Output EPS (Вывод событий) – количество событий, отправляемых в точку назначения за секунду.
    • Output Latency (Задержка вывода) – время, необходимое для отправки пакета событий в пункт назначения и получения от него ответа (отображается медиана).
    • Output Errors (Ошибки вывода) – количество ошибок при отправке пакетов событий в пункт назначения в секунду. Сетевые ошибки и ошибки записи в дисковый буфер отображаются отдельно.
    • Output Event Loss (Потеря событий) – количество потерянных событий в секунду. События могут быть потеряны из-за сетевых ошибок или ошибок записи в дисковый буфер. События также теряются, если место назначения ответило кодом ошибки (например, если запрос был недействительным).
  • Correlation (Корреляция) – показатели, относящиеся к правилам корреляции.
    • EPS (События, обрабатываемые в секунду) – количество корреляционных событий, создаваемых за секунду.
    • Buckets (Контейнеры) – количество контейнеров в правиле корреляции (только для правил корреляции стандартного типа).
  • Active Lists (Активные листы) – показатели, относящиеся к активным листам.
    • RPS (Запросы в секунду) – количество запросов (и их тип) к активному листу в секунду.
    • Records (Записи) – количество записей в активном листе.
    • WAL Size (Размер журнала Write-Ahead-Log) – размер журнала упреждающей записи. Эта метрика помогает определить размер активного листа.

Показатели хранилища

  • IO (Ввод-вывод) – метрики, относящиеся к вводу и выводу сервиса.
    • RPS (Запросы в секунду) – количество запросов к Хранилищу в секунду.
    • Latency (Задержка) – время проксирования одного запроса к узлу ClickHouse (отображается медиана).

Показатели Ядра

  • IO (Ввод-вывод) – метрики, относящиеся к вводу и выводу сервиса.
    • RPS (Запросы в секунду) – количество запросов к Ядру в секунду.
    • Latency (Задержка) – время обработки одного запроса (отображается медиана).
    • Errors (Ошибки) – количество ошибок запросов в секунду.
  • Notification Feed (Фид уведомлений) – показатели, относящиеся к активности пользователей.
    • Subscriptions (Подписки) – количество клиентов, подключенных к Ядру через SSE для получения сообщений сервера в реальном времени. Это число обычно коррелирует с количеством клиентов, использующих веб-интерфейс KUMA.
    • Errors (Ошибки) – количество ошибок отправки сообщений в секунду.
  • Schedulers (Планировщики) – показатели, относящиеся к задачам Ядра.
    • Active (Активные) – количество повторяющихся активных системных задач. Задачи, созданные пользователем, игнорируются.
    • Latency (Задержка) – время обработки одного запроса (отображается медиана).
    • Position (Позиция) – позиция (отметка времени) задачи создания алерта. Следующее сканирование ClickHouse на предмет корреляционных событий начнется с этой позиции.
    • Errors (Ошибки) – количество ошибок задач в секунду.

Метрики, общие для всех сервисов

  • Process (Процесс) – общие метрики процесса.
    • CPU (ЦП) – загрузка ЦП.
    • Memory (Память) – использование RAM (RSS).
    • DISK IOPS (Операции чтения/записи диска) – количество операций чтения / записи на диск в секунду.
    • DISK BPS (Считанные/записанные байты диска) – количество байтов, считываемых / записываемых на диск в секунду.
    • Network BPS (Байты, принятые/переданные по сети) – количество байтов, полученных / отправленных в секунду.
    • Network Packet Loss (Потеря пакетов) – количество сетевых пакетов, потерянных в секунду.
    • GC Latency (Задержка сборщика мусора) – время цикла сборщика мусора GO (Garbage Collector), отображается медиана.
    • Goroutines (Гоурутины) – количество активных гоурутин. Это число отличается от количества потоков.
  • OS (ОС) – показатели, относящиеся к операционной системе.
    • Load (Нагрузка) – средняя нагрузка.
    • CPU (ЦП) – загрузка ЦП.
    • Memory (Память) – использование RAM (RSS).
    • Disk (Диск) – использование дискового пространства.

Срок хранения метрик

По умолчанию данные о работе KUMA хранятся 3 месяца. Этот срок можно изменить.

Чтобы изменить срок хранения метрик KUMA:

  1. Войдите в ОС сервера, на котором установлено Ядро KUMA.
  2. В файле /etc/systemd/system/multi-user.target.wants/kuma-victoria-metrics.service в параметре ExecStart измените флаг --retentionPeriod=<срок хранения метрик в месяцах>, подставив нужный срок. Например, --retentionPeriod=4 означает, что метрики будут храниться 4 месяца.
  3. Перезапустите KUMA, выполнив последовательно следующие команды:
    1. systemctl daemon-reload
    2. systemctl restart kuma-victoria-metrics

Срок хранения метрик изменен.

В начало
[Topic 218035]

Работа с задачами KUMA

При работе в веб-интерфейсе программы вы можете выполнять различные операции с помощью задач. Например, вы можете выполнить импорт активов или экспортировать информацию о событиях KUMA в TSV-файл.

В этом разделе справки

Просмотр таблицы задач

Настройка отображения таблицы задач

Просмотр результата выполнения задачи

Повторный запуск задачи
В начало
[Topic 234574]

Просмотр таблицы задач

Таблица задач содержит список созданных задач и находится в разделе Диспетчер задач окна веб-интерфейса программы.

Вы можете просматривать задачи, созданные вами (текущим пользователем). Пользователь с ролью главного администратора может просматривать задачи всех пользователей.

По умолчанию в разделе Диспетчер задач применен фильтр Отображать только свои. Чтобы просматривать все задачи, снимите флажок с фильтра Отображать только свои.

В таблице задач содержится следующая информация:

  • Статус – статус задачи. Задаче может быть присвоен один из следующих статусов:
    • Мигает зеленая точка – задача активна.
    • Завершено – задача выполнена.
    • Отмена – задача отменена пользователем.
    • Ошибка – задача не была завершена из-за ошибки. Сообщение об ошибке отображается при наведении курсора мыши на значок восклицательного знака.
  • Задача – тип задачи. В программе доступны следующие типы задач:
    • Экспорт событий – экспорт событий KUMA.
    • Threat Lookup – запрос данных с портала Kaspersky Threat Intelligence Portal.
    • Ретроспективная проверка – задание на воспроизведение событий.
    • Импорт активов KSC – импорт данных об активах с серверов Kaspersky Security Center.
    • Импорт учетных записей – импорт данных о пользователях из Active Directory.
    • Импорт активов KICS/KATA – импорт данных об активах из KICS/KATA.
    • Обновление репозитория - обновления репозитория KUMA для получения пакетов с ресурсами из указанного в настройках источника.
  • Создал – пользователь, создавший задачу. Если задача создана автоматически, в столбце указано Задача по расписанию.
  • Создана – время создания задачи.
  • Последнее обновление – время обновления задачи.
  • Тенант – название тенанта, в котором была запущена задача.

Формат даты задачи зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

  • Английская локализация: ГГГГ-ММ-ДД.
  • Русская локализация: ДД.ММ.ГГГГ.
В начало
[Topic 218036]

Настройка отображения таблицы задач

Вы можете настроить отображение столбцов, а также порядок их следования в таблице задач.

Чтобы настроить отображение и порядок следования столбцов в таблице задач:

  1. В веб-интерфейсе KUMA выберите раздел Диспетчер задач.

    Отобразится таблица задач.

  2. В заголовочной части таблицы нажмите на кнопку шестеренки ().
  3. В отобразившемся окне выполните следующие действия:
    • Если вы хотите включить отображение столбца в таблице, установите флажок рядом с названием того параметра, который должен отображаться в таблице.
    • Если вы не хотите, чтобы параметр отображался в таблице, снимите флажок.

    Должен быть установлен хотя бы один флажок.

  4. Если вы хотите сбросить настройки, нажмите на ссылку По умолчанию.
  5. Если вы хотите изменить порядок отображения столбцов в таблице, наведите курсор мыши на название столбца, зажмите левую клавишу мыши и перетащите столбец в нужное место.

Отображение столбцов в таблице задач будет настроено.

В начало
[Topic 234604]

Просмотр результата выполнения задачи

Чтобы просмотреть результат выполнения задачи:

  1. В веб-интерфейсе KUMA выберите раздел Диспетчер задач.

    Отобразится таблица задач.

  2. Нажмите на ссылку с типом задачи в столбце Задача.

    Отобразится список доступных для этого типа задач операций.

  3. Выберите Показать результат.

Откроется окно с результатом выполнения задачи.

В данном разделе по умолчанию применен фильтр Отображать только свои в столбце Создал таблицы задач. Для просмотра всех задач вам необходимо отключить этот фильтр.

В начало
[Topic 234598]

Повторный запуск задачи

Чтобы перезапустить задачу:

  1. В веб-интерфейсе KUMA выберите раздел Диспетчер задач.

    Отобразится таблица задач.

  2. Нажмите на ссылку с типом задачи в столбце Задача.

    Отобразится список доступных для этого типа задач операций.

  3. Выберите Перезапустить.

Задача будет запущена повторно.

В начало
[Topic 234601]

Прокси-серверы

Прокси-серверы используются для хранения параметров конфигурации прокси-серверов, например в точках назначения. Поддерживается тип http.

Доступные параметры:

  • Название (обязательно) – уникальное имя прокси-сервера. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Брать URL из секрета (обязательно) – раскрывающийся список для выбора ресурса секрета, в котором хранятся URL прокси-серверов. При необходимости секрет можно создать в окне создания прокси-сервера с помощью кнопки . Выбранный секрет можно изменить, нажав на кнопку .
  • Не использовать на доменах – один или несколько доменов, к которым требуется прямой доступ.
  • Описание – вы можете добавить до 4000 символов в кодировке Unicode.
В начало
[Topic 217960]

Подключение к SMTP-серверу

В KUMA можно настроить отправку уведомлений по электронной почте с помощью SMTP-сервера. Пользователи будут получать уведомления, если в настройках их профиля установлен флажок Получать уведомления по почте.

Для обработки уведомлений KUMA можно добавить только один SMTP-сервер. Управление подключением к SMTP-серверу осуществляется в разделе веб-интерфейса KUMA ПараметрыОбщиеПараметры подключения к SMTP-серверу.

Чтобы настроить подключение к SMTP-серверу:

  1. Откройте веб-интерфейс KUMA и выберите раздел ПараметрыОбщие.
  2. В блоке параметров Параметры подключения к SMTP-серверу измените необходимые параметры:
    • Выключено – установите этот флажок, если хотите отключить подключение к SMTP-серверу.
    • Адрес сервера (обязательно) – адрес SMTP-сервера в одном из следующих форматов: hostname, IPv4, IPv6.
    • Порт (обязательно) – порт подключения к почтовому серверу. Значение должно быть целым числом от 1 до 65 535.
    • От кого (обязательно) – адрес электронной почты отправителя сообщения. Например, kuma@company.com.
    • Псевдоним сервера Ядра KUMA – отличное от FQDN название сервера Ядра KUMA, которое используется в вашей сети.
    • При необходимости в раскрывающемся списке Секрет выберите секрет типа credentials, в котором записаны учетные данные для подключения к SMTP-серверу.

      Добавить секрет

      Чтобы создать секрет:

      1. В поле Название введите название секрета.
      2. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
      3. При необходимости в поле Описание введите описание секрета.
      4. Нажмите на кнопку Создать.

      Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.

    • Выберите периодичность уведомлений в раскрывающемся списке Регулярность уведомлений мониторинга.

      Уведомления о срабатывании политики мониторинга от источника будут повторяться через выбранный период, пока статус источника не станет вновь зеленым.

      Если вы выберете значение Не повторять, уведомление о срабатывании политики мониторинга придет только один раз.

    • Включите переключатель Выключить уведомления мониторинга, если не хотите получать уведомления о состоянии источников событий. По умолчанию переключатель выключен.
  3. Нажмите Сохранить.

Соединение с SMTP-сервером настроено, пользователи могут получать сообщения электронной почты от KUMA.

В начало
[Topic 217936]

Работа с задачами Kaspersky Security Center

Вы можете подключить активы Kaspersky Security Center к KUMA и загружать на эти активы обновления баз и программных модулей или запускать на них антивирусную проверку с помощью задач Kaspersky Security Center. Задачи запускаются в веб-интерфейсе KUMA.

Для запуска задач Kaspersky Security Center на активах, подключенных к KUMA, рекомендуется использовать следующий сценарий:

  1. Создание в Консоли администрирования Kaspersky Security Center учетной записи пользователя

    Данные этой учетной записи используются при создании секрета для установки соединения с Kaspersky Security Center и могут использоваться при создании задачи.

    Подробнее о создании учетной записи и назначении прав пользователю см. в справке Kaspersky Security Center.

  2. Создание задач в Kaspersky Security Center
  3. Настройка интеграции KUMA с Kaspersky Security Center
  4. Импорт информации об активах Kaspersky Security Center в KUMA
  5. Назначение категории импортированным активам

    После импорта активы автоматически помещаются в группу Устройства без категории. Вы можете назначить импортированным активам одну из существующих категорий или создать категорию и назначить ее активам.

  6. Запуск задач на активах

    Вы можете запускать задачи вручную в информации об активе или настроить автоматический запуск задач.

В этом разделе

О создании задач KUMA в Kaspersky Security Center

Запуск задач Kaspersky Security Center вручную

Автоматический запуск задач Kaspersky Security Center

Проверка статуса задач Kaspersky Security Center
В начало
[Topic 218045]

О создании задач KUMA в Kaspersky Security Center

Вы можете запустить на активах Kaspersky Security Center, подключенных к KUMA, задачу обновления антивирусных баз и модулей программы и задачу антивирусной проверки. На активах должны быть установлены программы Kaspersky Endpoint Security для Windows или Linux. Задачи создаются в Kaspersky Security Center Web Console.

Подробнее о создании задач Обновление и Антивирусная проверка на активах с Kaspersky Endpoint Security для Windows см. в справке Kaspersky Endpoint Security для Windows.

Подробнее о создании задач Обновление и Антивирусная проверка на активах с Kaspersky Endpoint Security для Linux см. в справке Kaspersky Endpoint Security для Linux.

Название задач должно начинаться с "kuma" (без учета регистра и без кавычек). Например, KUMA antivirus check. В противном случае задача не отображается в списке доступных задач в веб-интерфейсе KUMA.

В начало
[Topic 240903]

Запуск задач Kaspersky Security Center вручную

Вы можете вручную запускать на активах Kaspersky Security Center, подключенных к KUMA, задачу обновления антивирусных баз и модулей программы и задачу антивирусной проверки. На активах должны быть установлены программы Kaspersky Endpoint Security для Windows или Linux.

Предварительно вам нужно настроить интеграцию Kaspersky Security Center с KUMA и создать задачи в Kaspersky Security Center.

Чтобы запустить задачу Kaspersky Security Center вручную:

  1. В разделе Активы веб-интерфейса KUMA выберите актив, импортированный из Kaspersky Security Center.

    Откроется окно Информация об активе.

  2. Нажмите на кнопку Реагирование KSC.

    Кнопка отображается, если подключение к Kaspersky Security Center, к которому принадлежит выбранный актив, включено.

  3. В открывшемся окне Выберите задачу установите флажки рядом с задачами, которые вы хотите запустить, и нажмите на кнопку Запустить.

Kaspersky Security Center запускает выбранные задачи.

Некоторые типы задач доступны только для определенных активов.

Информация об уязвимостях и программном обеспечении доступна только для активов с операционной системой Windows.

В начало
[Topic 218009]

Автоматический запуск задач Kaspersky Security Center

Вы можете настроить автоматический запуск задачи обновления антивирусных баз и модулей программы и задачи антивирусной проверки на активах Kaspersky Security Center, подключенных к KUMA. На активах должны быть установлены программы Kaspersky Endpoint Security для Windows или Linux.

Предварительно вам нужно настроить интеграцию Kaspersky Security Center с KUMA и создать задачи в Kaspersky Security Center.

Настройка автоматического запуска задач Kaspersky Security Center включает следующие этапы:

Шаг 1. Добавление правила корреляции

Чтобы добавить правило корреляции:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. Выберите Правила корреляции и нажмите на кнопку Добавить правило корреляции.
  3. На вкладке Общие укажите следующие параметры:
    1. В поле Название укажите название правила.
    2. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
    3. В раскрывающемся списке Тип выберите simple.
    4. В поле Наследуемые поля добавьте следующие поля: DestinationAssetID.
    5. При необходимости укажите значения для следующих полей:
      • В поле Частота срабатывания укажите максимальное количество срабатываний правила в секунду.
      • В поле Уровень важности укажите уровень важности алертов и корреляционных событий, которые будут созданы в результате срабатывания правила.
      • В поле Описание укажите любую дополнительную информацию.
  4. На вкладке СелекторыПараметры выполните следующие действия:
    1. В раскрывающемся списке Фильтр выберите Создать.
    2. В поле Условия нажмите на кнопку Добавить группу.
    3. В поле с оператором для добавленной группы выберите И.
    4. Добавьте условие для фильтрации по значению поля DeviceProduct:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле события выберите DeviceProduct.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите KSC.
    5. Добавьте условие для фильтрации по значению поля Name:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле события выберите Name.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите имя события, при обнаружении которого вы хотите автоматически запускать задачу.

        Например, если вы хотите, чтобы задача Антивирусная проверка запускалась при регистрации событий Kaspersky Security Center Обнаружен вредоносный объект, вам нужно указать в поле значение это имя.

        Имя события можно посмотреть в поле Name в информации о событии.

  5. На вкладке Действия укажите следующие параметры:
    1. В разделе Действия откройте раскрывающийся список На каждом событии.
    2. Установите флажок Отправить на дальнейшую обработку.

      Другие поля заполнять не требуется.

  6. Нажмите на кнопку Сохранить.

Правило корреляции будет создано.

Шаг 2. Создание коррелятора

Вам нужно запустить мастер установки коррелятора. На шаге 3 мастера вам требуется выбрать правило корреляции, добавленное при выполнении этой инструкции.

В поле DeviceHostName должно отображаться доменное имя (FQDN) актива. Если оно не отображается, вам нужно создать запись для этого актива в системе DNS и на шаге 4 мастера создать правило обогащения с помощью DNS.

Шаг. 3. Добавление фильтра

Чтобы добавить фильтр:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. Выберите Фильтры и нажмите на кнопку Добавить фильтр.
  3. В поле Название укажите название фильтра.
  4. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
  5. В поле Условия нажмите на кнопку Добавить группу.
  6. В поле с оператором для добавленной группы выберите И.
  7. Добавьте условие для фильтрации по значению поля DeviceProduct:
    1. В поле Условия нажмите на кнопку Добавить условие.
    2. В поле с условием выберите Если.
    3. В поле Левый операнд выберите поле события.
    4. В поле события выберите Type.
    5. В поле оператор выберите =.
    6. В поле Правый операнд выберите константа.
    7. В поле значение введите 3.
  8. Добавьте условие для фильтрации по значению поля Name:
    1. В поле Условия нажмите на кнопку Добавить условие.
    2. В поле с условием выберите Если.
    3. В поле Левый операнд выберите поле события.
    4. В поле события выберите Name.
    5. В поле оператор выберите =.
    6. В поле Правый операнд выберите константа.
    7. В поле значение введите имя правила корреляции, созданного на шаге 1.

Шаг 4. Добавление правила реагирования

Чтобы добавить правило реагирования:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. Выберите Правила реагирования и нажмите на кнопку Добавить правило реагирования.
  3. В поле Название укажите название правила.
  4. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
  5. В раскрывающемся списке Тип выберите Реагирование через KSC.
  6. В раскрывающемся списке Задача Kaspersky Security Center выберите задачу Kaspersky Security Center, которую требуется запустить.
  7. В раскрывающемся списке Поле события выберите DestinationAssetID.
  8. В поле Рабочие процессы укажите количество процессов, которые сервис может запускать одновременно.

    По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис коррелятора.

  • В поле Описание вы можете добавить до 4000 символов в кодировке Unicode.
  • В раскрывающемся списке Фильтр выберите фильтр, добавленный на шаге 3 этой инструкции.

Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.

Если правила реагирования принадлежат общему тенанту, то в качестве доступных для выбора задач Kaspersky Security Center отображаются задачи от сервера Kaspersky Security Center, к которому подключен главный тенант.

Если в правиле реагирования выбрана задача, которая отсутствует на сервере Kaspersky Security Center, к которому подключен тенант, для активов этого тенанта задача не будет выполнена. Такая ситуация может возникнуть, например, когда два тенанта используют общий коррелятор.

Шаг 5. Добавление правила реагирования в коррелятор

Чтобы добавить правило реагирования в коррелятор:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. Выберите Корреляторы.
  3. В списке корреляторов выберите коррелятор, добавленный на шаге 2 этой инструкции.
  4. В дереве шагов выберите Правила реагирования.
  5. Нажмите на кнопку Добавить.
  6. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 4 этой инструкции.
  7. В дереве шагов выберите Проверка параметров.
  8. Нажмите на кнопку Сохранить и перезапустить сервисы.
  9. Нажмите на кнопку Сохранить.

Правило реагирования будет добавлено в коррелятор.

Автоматический запуск задачи обновления антивирусных баз и модулей программы или задачи антивирусной проверки на активах Kaspersky Security Center, подключенных к KUMA, будет настроен. Задачи запускаются при обнаружении угрозы на активах и получении KUMA соответствующих событий.

В начало
[Topic 218008]

Проверка статуса задач Kaspersky Security Center

В веб-интерфейсе KUMA можно проверить, была ли запущена задача Kaspersky Security Center или завершен ли поиск событий из коллектора, который прослушивает события Kaspersky Security Center.

Чтобы выполнить проверку статуса задач Kaspersky Security Center:

  1. Выберите раздел KUMA РесурсыАктивные сервисы.
  2. Выберите коллектор, настроенный на получение событий с сервера Kaspersky Security Center, и нажмите на кнопку Перейти к событиям.

Откроется новая вкладка браузера в разделе События KUMA. В таблице отобразятся события с сервера Kaspersky Security Center. Статус задач отображается в столбце Название.

Поля событий Kaspersky Security Center:

  • Name (Название) – статус или тип задачи.
  • Message (Сообщение) – сообщение о задаче или событии.
  • FlexString<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, полученного от Kaspersky Security Center. Например, FlexString1Label=TaskName.
  • FlexString<номер> (Настраиваемое поле <номер>) – значение атрибута, указанного в поле поля FlexString<номер>Label. Например, FlexString1=Download updates.
  • DeviceCustomNumber<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, относящегося к состоянию задачи. Например, DeviceCustomNumber1Label=TaskOldState.
  • DeviceCustomNumber<номер> (Настраиваемое поле <номер>) – значение, относящееся к состоянию задачи. Например, DeviceCustomNumber1=1 означает, что задача выполняется.
  • DeviceCustomString<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, относящегося к обнаруженной уязвимости: например, название вируса, уязвимого приложения.
  • DeviceCustomString<номер> (Настраиваемое поле <номер>) – значение, относящееся к обнаруженной уязвимости. Например, пары атрибут-значение DeviceCustomString1Label=VirusName и DeviceCustomString1=EICAR-Test-File означают, что обнаружен тестовый вирус EICAR.
В начало
[Topic 217753]

Журналы KUMA

В KUMA предусмотрены следующие типы журналов:

  • Журналы установщика.
  • Журналы компонентов.

Журналы установщика

KUMA автоматически создает файлы с журналами установки, изменения конфигурации или удаления.

Журналы хранятся в папке ./log/ в директории установщика. В названии файла журнала используется дата и время запуска соответствующего скрипта.

Названия формируются в следующих форматах:

  • Журнал установки: install-YYYYMMDD-HHMMSS.log. Например, install-20231031-102409.log
  • Журналы удаления: uninstall-YYYYMMDD-HHMMSS.log. Например, uninstall-20231031-134011.log
  • Журналы изменения конфигурации: expand-YYYYMMDD-HHMMSS.log. Например, expand-20231031-105805.log

При каждом запуске скрипта установки, изменения конфигурации или удаления KUMA создает новый файл. Ротация или автоматическое удаление журналов не предусмотрено.

Журнал содержит строки файла инвентаря, использованного при вызове соответствующей команды, и журнал ansible. Для каждой задачи последовательно отображается время запуска задачи (Вторник 31 октября 2023 10:29:14 +0300), время выполнения предыдущей задачи (0:00:02.611) и общее время с момента запуска установки, изменения конфигурации или удаления (0:04:56.906).

Пример:

TASK [Add columns to the replicated table] ***************************************

Вторник 31 октября 2023 10:29:14 +0300 (0:00:02.611) 0:04:56.906 *******

Журналы компонентов

По умолчанию для всех компонентов KUMA в журнале регистрируются только ошибки. Чтобы получать детализированные данные в журналах, следует настроить в параметрах компонента режим Отладка.

Журналы Ядра /opt/kaspersky/kuma/core/log/stdout.log и /opt/kaspersky/kuma/core/log/stderr.log архивируются при достижении размера 5 ГБ или срока жизни 7 дней, в зависимости от того, что наступит раньше. Проверка выполнения условий выполняется ежедневно. Архивы хранятся в папке с журналами в течение 7 дней, по истечении 7 дней архив удаляется. Одновременно на сервере хранится не более четырех заархивированных журналов. При появлении нового архива журнала, если архивов становится больше четырех, самый давний архив удаляется. При высоком темпе заполнения журналов необходимо иметь достаточно места на диске для создания копии файла журнала и ее архивирования при ротации.

Журналы компонентов пополняются, пока файл не достигнет размера 5 ГБ. По достижении 5 ГБ журнал архивируется и события начинают записываться в новый журнал. Архивы хранятся в папке с журналами в течение 7 дней, по истечении 7 дней архив удаляется. Одновременно на сервере хранится не более четырех заархивированных журналов. При появлении нового архива журнала, если архивов становится больше четырех, самый давний архив удаляется.

Режим Отладка доступен для следующих компонентов:

Ядро

Как включить: в веб-интерфейсе KUMA в разделе ПараметрыОбщиеПараметры ЯдраОтладка.

Где хранятся:

  • /opt/kaspersky/kuma/core/log/stdout.log - перенаправляется стандартный вывод сервиса.
  • /opt/kaspersky/kuma/core/log/stderr.log - перенаправляется стандартный вывод сервиса об ошибках.

Если KUMA установлена в отказоустойчивой конфигурации, см. ниже раздел Просмотр журналов Ядра в Kubernetes.

Сервисы:

  • Хранилище
  • Корреляторы
  • Коллекторы
  • Агенты

Как включить: в параметрах сервиса с помощью переключателя Отладка.

Где хранятся: в директории установки сервиса. Например, /opt/kaspersky/kuma/<имя сервиса>/log/<имя сервиса>. Журналы сервисов можно скачать в веб-интерфейсе KUMA в разделе РесурсыАктивные сервисы, выбрав нужный сервис и нажав на кнопку Журнал.

Журналы на машинах Linux можно просмотреть с помощью команды journalctl и tail. Например:

  • Хранилище. Чтобы вернуть последние журналы из хранилища, установленного на сервере, выполните следующую команду:

    journalctl -f -u kuma-storage-<идентификатор хранилища>

  • Корреляторы. Чтобы вернуть последние журналы из корреляторов, установленных на сервере, выполните следующую команду:

    journalctl -f -u kuma-correlator-<идентификатор коррелятора>

  • Коллекторы. Чтобы вернуть последние журналы определенного коллектора, установленного на сервере, выполните следующую команду:

    journalctl -f -u kuma-collector-<идентификатор коллектора>

  • Агенты. Чтобы вернуть последние журналы агента, установленного на сервере, выполните следующую команду:

    tail -f /opt/kaspersky/agent/<идентификатор агента>/log/agent

    Работа агентов на машинах Windows журналируется всегда, если им присвоены права logon as a service, однако при установленном флажке Отладка данные указываются более подробно. Журналы агентов на машинах Windows можно просмотреть в файле %PROGRAMDATA%\Kaspersky Lab\KUMA\<идентификатор агента>\agent.log. Журналы агентов на машинах Linux хранятся в директории установки агента.

Ресурсы:

  • Коннекторы
  • Точки назначения
  • Правила обогащения

Как включить: в параметрах сервиса, к которому привязан ресурс, с помощью переключателя Отладка.

Где хранятся: журналы хранятся на машине, на которой установлен сервис, использующий требуемый ресурс. Детализированные данные для ресурсов можно посмотреть в журнале сервиса, к которому привязан ресурс.

Просмотр журналов Ядра в Kubernetes

Файлы журналов Ядра архивируются, по достижении 100 Мб записывается новый журнал. Одновременно хранится не более пяти файлов. При появлении нового журнала, если файлов становится больше пяти, самый старый файл удаляется.

На рабочих узлах можно просмотреть журналы контейнеров и подов, размещенных на этих узлах, в файловой системе узла.
Например:
/var/log/pods/kuma_core-deployment-<UID>/core/*.log
/var/log/pods/kuma_core-deployment-<UID>/mongodb/*.log

Чтобы просмотреть журналы всех контейнеров пода core:

k0s kubectl logs -l app=core --all-containers -n kuma

Чтобы просмотреть журнал определенного контейнера:

k0s kubectl logs -l app=core -c <имя_контейнера> -n kuma

Чтобы включить просмотр журналов в реальном времени, добавьте ключ -f:

k0s kubectl logs -f -l app=core --all-containers -n kuma

Чтобы просмотреть журналы "предыдущего" пода, который был замещен новым, например, при восстановлении после критической ошибки или после повторного развертывания, добавьте ключ --previous:

k0s kubectl logs -l app=core -c core -n kuma --previous

Для доступа к журналам с других хостов, не входящих в кластер, необходим файл k0s-kubeconfig.yml с реквизитами доступа, который создается при установке KUMA, и локально установленная утилита управления кластером kubectl.
Контроллер кластера или балансировщик трафика, указанные в параметре server файла k0s-kubeconfig.yml, должны быть доступны по сети.

Путь к файлу необходимо экспортировать в переменную: 
export KUBECONFIG=/<путь к файлу>/k0s-kubeconfig.yml

Для просмотра журналов можно использовать kubeclt, например:

kubectl logs -l app=core -c mongodb -n kuma

В начало
[Topic 217686]

Уведомления KUMA

Стандартные уведомления

В KUMA можно настроить отправку уведомлений по электронной почте с помощью SMTP-сервера. Для этого необходимо настроить подключение к SMTP-серверу, а также установить флажок Получать уведомления по почте для пользователей, которым должны приходить уведомления.

KUMA автоматически уведомляет пользователей о следующих событиях:

  • создан отчет (уведомление получают пользователи, перечисленные в параметрах расписания шаблона отчета);
  • создан алерт (уведомление получают все пользователи);
  • алерт назначен пользователю (уведомление получает пользователь, которому был назначен алерт);
  • выполнена задача (уведомление получают пользователи, создавшие задачу).
  • доступны новые пакеты с ресурсами, которые можно получить путем обновления репозитория KUMA (уведомление получают пользователи, чей адрес электронной почты указан в параметрах задачи).

Пользовательские уведомления

Вместо стандартных уведомлений KUMA о создании алертов можно рассылать уведомления на основании пользовательских шаблонов. Настройка пользовательских уведомлений взамен стандартных происходит по шагам:

Когда по выбранным правилам корреляции будет создаваться алерт, на указанные адреса электронной почты будут отправляться уведомления, созданные на основе пользовательских шаблонов электронной почты. Стандартные уведомления KUMA о том же событии на указанные адреса отправлены не будут.

В начало
[Topic 233516]