Содержание
Аудит активов
В KUMA можно настроить создание событий аудита активов при следующих условиях:
- Актив добавлен в KUMA. Отслеживается создание актива вручную, а также создание при импорте через REST API, импорте из Kaspersky Security Center или KICS/KATA.
- Параметры актива изменены. Отслеживается изменение значение следующих полей актива:
- Name
- IP address
- Mac Address
- FQDN
- Operating system
Изменения полей может происходить при обновлении актива во время импорта.
- Актив удален из KUMA. Отслеживается удаление активов вручную, а также автоматическое удаление активов, импортированных из Kaspersky Security Center и KICS/KATA, данные о которых перестали поступать.
- Сведения об уязвимости добавлены в актив. Отслеживается появление у активов новых данных об уязвимостях. Сведения об уязвимостях могут быть добавлены в актив, например, при импорте активов из Kaspersky Security Center или KICS/KATA.
- Уязвимость актива закрыта. Отслеживается удаление из актива сведений об уязвимости. Уязвимость считается закрытой, если данные о ней перестают поступать из всех источников, из которых ранее были получены сведения о ее появлении.
- Актив добавлен в категорию. Отслеживается присвоении активу категории активов.
- Актив удален из категории. Отслеживается удаление актива из категории активов.
По умолчанию, если аудит активов включен, при описанных выше условиях в KUMA создаются не только события аудита (Type = 4), но и базовые события (Type = 1).
События аудита активов можно отправлять, например, на хранение или в корреляторы.
Настройка аудита активов
Чтобы настроить аудит активов:
- Откройте раздел Параметры → Аудит активов веб-интерфейса KUMA.
- Выполните одно из действий с тенантом, для которого вы хотите настроить аудит активов:
- Добавьте тенант с помощью кнопки Добавить тенант, если аудит активов для требуемого тенанта настраивается впервые.
В открывшемся окне Аудит активов выберите имя для нового тенанта.
- Выберите существующий тенант в таблице, если аудит активов для требуемого тенанта уже был настроен.
В открывшемся окне Аудит активов имя тенанта уже задано и редактировать его нельзя.
- Клонируйте настройки существующего тенанта, чтобы создать копию конфигурации условий для тенанта, для которого вы хотите настроить аудит активов впервые. Для этого установите флажок напротив тенанта, конфигурацию которого требуется копировать, и нажмите Клонировать. В открывшемся окне Аудит активов выберите имя тенанта, в котором будет использована конфигурация исходного тенанта.
- Добавьте тенант с помощью кнопки Добавить тенант, если аудит активов для требуемого тенанта настраивается впервые.
- Выберите для каждого условия создания событий аудита активов, куда будут отправляться создаваемые события:
- В блоке параметров нужного типа событий аудита активов в раскрывающемся списке Добавить точку назначения выберите тип точки назначения, куда следует отправлять создаваемые события:
- Выберите Хранилище, если хотите, чтобы события отправлялись в хранилище.
- Выберите Коррелятор, если хотите, чтобы события отправлялись в коррелятор.
- Выберите Другое, если хотите выбрать иную точку назначения.
К этому типу относятся также сервисы коррелятора и хранилища, созданные в предыдущих версиях программы.
Откроется окно Добавить точку назначения, где вам требуется параметры пересылки событий.
- В раскрывающемся списке Точка назначения выберите существующую точку назначения или выберите пункт Создать, если хотите создать новую точку назначения.
При создании новой точки назначения заполните параметры, как указано в описании точки назначения.
- Нажмите Сохранить.
Точка назначения добавлена к условию создания событий аудита активов. Для каждого условия можно добавить несколько точек назначения.
- В блоке параметров нужного типа событий аудита активов в раскрывающемся списке Добавить точку назначения выберите тип точки назначения, куда следует отправлять создаваемые события:
- Нажмите Сохранить.
Аудит активов настроен. События аудита активов будут создаваться для тех условий, для которых были добавлены точки назначения. Нажмите Сохранить.
В началоХранение и поиск событий аудита активов
События аудита активов считаются базовыми и не заменяют собой событий аудита. События аудита активов можно искать по следующим параметрам:
Поле события |
Значение |
DeviceVendor |
|
DeviceProduct |
|
DeviceEventCategory |
|
Включение и выключение аудита активов
Можно включить или выключить аудит активов для тенанта:
Чтобы включить или выключить аудит активов для тенанта:
- Откройте раздел Параметры → Аудит активов веб-интерфейса KUMA и выберите тенант, для которого которого вы хотите включить или выключить аудит активов.
Откроется окно Аудит активов.
- Установите или снимите в верхней части окна флажок Выключено.
- Нажмите Сохранить.
По умолчанию при включенном аудите активов в KUMA при возникновении условия аудита одновременно создаются два типа событий: базовое событие и событие аудита.
Вы можете отключить создание базовых событий одновременно с событиями аудита.
Чтобы включить или выключить для отдельного условия создание базовых событий:
- Откройте раздел Параметры → Аудит активов веб-интерфейса KUMA и выберите тенант, для которого которого вы хотите включить или выключить условие создания событий аудита активов.
Откроется окно Аудит активов.
- Установите или снимите напротив нужных условий флажок Выключено.
- Нажмите Сохранить.
Для условий с установленным флажком Выключено будут создаваться только события аудита, а базовые события создаваться не будут.
В начало