Интеграция с Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Detection and Response (далее также KEDR) – функциональный блок программы Kaspersky Anti Targeted Attack Platform, обеспечивающий защиту активов локальной сети организации.

Вы можете настроить интеграцию KUMA с Kaspersky Endpoint Detection and Response версий 4.1 и 5.0, чтобы управлять действиями по реагированию на угрозы на активах, подключенных к серверам Kaspersky Endpoint Detection and Response, и активах Kaspersky Security Center. Команды на выполнение операций поступают на сервер Kaspersky Endpoint Detection and Response, после чего она передает их программе Kaspersky Endpoint Agent, установленной на активах.

Также вы можете импортировать события в KUMA и получать информацию об обнаружениях Kaspersky Endpoint Detection and Response (подробнее о получении информации об обнаружениях см. в разделе Настройка интеграции с SIEM-системой в справке Kaspersky Anti Targeted Attack Platform).

При интеграции KUMA с Kaspersky Endpoint Detection and Response вы можете выполнять следующие операции на активах Kaspersky Endpoint Detection and Response с Kaspersky Endpoint Agent:

• Управлять сетевой изоляцией активов.
• Управлять правилами запрета.
• Запускать программы.

За инструкцией по настройке интеграции для управления действиями по реагированию вам требуется обратиться к вашему аккаунт-менеджеру или в службу технической поддержки.

Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kafka

При импорте событий из Kaspersky Endpoint Detection and Response телеметрия передается открытым текстом и может быть перехвачена злоумышленником.

Вы можете импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.0, 4.1, 5.0 и 5.1 с помощью коннектора Kafka.

При импорте событий из Kaspersky Endpoint Detection and Response 4.0 и 4.1 действует ряд ограничений:

• Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
• Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.

Для импорта событий вам потребуется выполнить действия на стороне Kaspersky Endpoint Detection and Response и на стороне KUMA.

Импорт событий Kaspersky Endpoint Detection and Response 4.0 или 4.1

Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.0 или 4.1, выполните следующие действия:

На стороне Kaspersky Endpoint Detection and Response:

1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.

   Отобразится меню администратора компонента программы.

3. В меню администратора компонента программы выберите режим Technical Support Mode.
4. Нажмите на клавишу Enter.

   Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. Выполните команду:

   sudo -i

7. В конфигурационном файле /etc/sysconfig/apt-services в поле KAFKA_PORTS удалите значение 10000.

   Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000.

   Мы не рекомендуем использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду:

   iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP

8. В конфигурационном файле /usr/bin/apt-start-sedr-iptables в поле WEB_PORTS добавьте значение 10000 через запятую без пробела.
9. Выполните команду:

   sudo sh /usr/bin/apt-start-sedr-iptables

Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.

На стороне KUMA:

1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> centralnode в один из следующих файлов:
   • %WINDIR%\System32\drivers\etc\hosts – для Windows.
   • /etc/hosts file – для Linux.
2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.

   При создании коннектора укажите следующие параметры:

   • В поле URL укажите <IP-адрес сервера Central Node>:10000.
   • В поле Topic укажите EndpointEnrichedEventsTopic.
   • В поле Consumer group укажите любое уникальное имя.
3. В веб-интерфейсе KUMA создайте коллектор.

   В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора используйте [OOTB] KEDR telemetry.

При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.

Импорт событий Kaspersky Endpoint Detection and Response 5.0 и 5.1

При импорте событий из Kaspersky Endpoint Detection and Response 5.0 и 5.1 действует ряд ограничений:

• Импорт событий доступен только для неотказоустойчивой версии Kaspersky Endpoint Detection and Response.
• Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
• Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.

Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 5.0 или 5.1, выполните следующие действия:

На стороне Kaspersky Endpoint Detection and Response:

1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.

   Отобразится меню администратора компонента программы.

3. В меню администратора компонента программы выберите режим Technical Support Mode.
4. Нажмите на клавишу Enter.

   Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. В конфигурационном файле /usr/local/lib/python3.8/dist-packages/firewall/create_iptables_rules.py укажите дополнительный порт 10000 для константы WEB_PORTS:

   WEB_PORTS = f'10000,80,{AppPort.APT_AGENT_PORT},{AppPort.APT_GUI_PORT}'

   Для версии Kaspersky Endpoint Detection and Response 5.1 этот шаг выполнять не нужно, порт указан по умолчанию.

7. Выполните команды:

   kata-firewall stop

   kata-firewall start --cluster-subnet <маска сети для адресации серверов кластера>

Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.

На стороне KUMA:

1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> kafka.services.external.dyn.kata в один из следующих файлов:
   • %WINDIR%\System32\drivers\etc\hosts – для Windows.
   • /etc/hosts file – для Linux.
2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.

   При создании коннектора укажите следующие параметры:

   • В поле URL укажите <IP-адрес сервера Central Node>:10000.
   • В поле Topic укажите EndpointEnrichedEventsTopic.
   • В поле Consumer group укажите любое уникальное имя.
3. В веб-интерфейсе KUMA создайте коллектор.

   В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора рекомендуется использовать нормализатор [OOTB] KEDR telemetry.

При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.

Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr

Чтобы импортировать события Kaspersky Endpoint Detection and Response версии 5.1 и старше с хостов с помощью коннектора kata/edr:

1. Выполните настройку на стороне KUMA для получения событий. Для этого создайте и установите в KUMA коллектор с коннектором kata/edr или отредактируйте существующий коллектор, а затем сохраните измененные параметры и перезапустите коллектор.
2. На стороне КEDR примите запрос авторизации от KUMA, чтобы события начали поступать в KUMA.

В результате интеграция будет настроена, и события KEDR будут поступать в KUMA.

Создание коллектора для получения событий из KEDR

Чтобы создать коллектор для получения событий из KEDR:

1. В KUMA → Ресурсы → Коллекторы выберите Добавить коллектор.
2. В открывшемся окне Создание коллектора на шаге 1 Подключение источников укажите произвольное Название коллектора и выберите в раскрывающемся списке подходящий Тенант.
3. На шаге 2 Транспорт выполните следующие действия:
   1. На вкладке Основные параметры:
      1. В поле Коннектор выберите Создать или в этом же поле начните набирать название коннектора, если хотите использовать уже созданный коннектор.
      2. В раскрывающемся списке Тип коннектора выберите коннектор kata/edr. После того как вы выберите тип коннектора kata/edr, появятся дополнительные поля для заполнения.
      3. В поле URL укажите адрес подключения к серверу KEDR в формате <имя хоста или IP-адрес хоста>:<порт подключения, по умолчанию 443>. Если решение KEDR развернуто в кластере, с помощью кнопки Добавить вы можете добавить все узлы. KUMA будет подключаться последовательно к каждому указанному узлу. Если решение КEDR установлено в распределенной конфигурации, на стороне KUMA необходимо настроить отдельный коллектор для каждого сервера KEDR.
      4. В поле Секрет выберите Создать, чтобы создать новый секрет. В открывшемся окне Создание секрета укажите Название и нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения.

         В результате в папку загрузок браузера, например Загрузки, будет скачан архив certificate.zip, который содержит файл ключа key.pem и файл сертификата cert.pem. Распакуйте архив. Нажмите Загрузить сертификат и выберите cert.pem. Нажмите Загрузить закрытый ключ и выберите key.pem. Нажмите Создать, после этого секрет будет добавлен в раскрывающийся список Секрет и будет автоматически выбран.

         Также вы можете выбрать из списка Секрет созданный секрет, с этим секретом KUMA будет подключаться к KEDR.

      5. Поле Внешний ID содержит идентификатор для внешних систем. Этот идентификатор отображается в веб-интерфейсе KEDR при авторизации сервера KUMA. KUMA генерирует идентификатор автоматически и поле Внешний ID будет автоматически предзаполнено.
   2. На вкладке Дополнительные параметры:
      1. Чтобы получать детализированную информацию в журнале коллектора, переведите переключатель Отладка в активное положение.
      2. При необходимости в поле Кодировка символов выберите кодировку исходных данных, к которым будет применена конвертация в UTF-8. Мы рекомендуем применять конвертацию только в том случае, если в полях нормализованного события отображаются недопустимые символы. По умолчанию значение не выбрано.
      3. Укажите Максимальное количество событий в одном запросе к KEDR. По умолчанию указано значение 0 - это означает, что KUMA использует значение, заданное на сервере KEDR. Подробнее см. в Справке KATA. Вы можете указать произвольное значение, не превышающее значение на стороне KEDR. Если указанное вами значение превысит значение параметра Максимальное количество событий, заданное на сервере KEDR, в журнале коллектора KUMA будет ошибка "Bad Request: max_events N is greater than allowed value".
      4. Заполните поле Время ожидания получения событий, чтобы получать события через заданный промежуток времени. По умолчанию указано значение 0. Это означает, что применяется значение, заданное по умолчанию на сервере KEDR. Подробнее см. в Справке KATA. В этом поле указано время, по истечении которого сервер KEDR передаст KUMA события. На сервере KEDR действует два параметра: максимальное количество событий и время ожидания получения событий, передача событий происходит в зависимости от того, что произойдет раньше - будет собрано заданное количество событий или истечет заданное время. Если заданное время истекло, а заданного количества событий не набралось, сервер KEDR передаст те, что есть.
      5. В поле Время ожидания ответа укажите максимальное значение ожидания ответа от сервера KEDR в секундах. Значение по умолчанию: 1800 сек, отображается как 0. В поле Время ожидания ответа указано клиентское ограничение. Значение параметра Время ожидания ответа должно быть больше, чем серверное Время ожидания получения событий, чтобы не прервать текущую задачу сбора событий новым запросом и дождаться ответа сервера. Если ответ от сервера KEDR все же не поступил, KUMA повторит запрос.
      6. В поле Фильтр KEDRQL укажите условия фильтрации запроса. В результате со стороны KEDR будут поступать уже отфильтрованные события. Подробнее о доступных полях для фильтрации см. в Справке KATA.
4. На шаге 3 Парсинг нажмите Добавить парсинг событий и в открывшемся окне Основной парсинг событий выберите в раскрывающемся списке нормализатор [ООТВ] KEDR telemetry.
5. Чтобы завершить создание коллектора в веб-интерфейсе, нажмите Сохранить и создать сервис. Затем скопируйте в веб-интерфейсе команду установки коллектора и выполните команду установки в интерпретаторе командной строки на сервере, где вы хотите установить коллектор.

   Если вы редактировали существующий коллектор, нажмите Сохранить и перезапустить сервисы.

В результате коллектор создан и готов к отправке запросов, при этом коллектор будет отображаться в разделе Ресурсы → Активные сервисы в желтом статусе, пока на стороне КEDR не будет принят запрос авторизации от KUMA.

Авторизация KUMA на стороне KEDR

После того, как в KUMA создан коллектор, на стороне KEDR необходимо принять запрос авторизации KUMA, чтобы запросы от KUMA начали поступать в KEDR. После принятой авторизации коллектор KUMA автоматически по расписанию отправляет запрос в KEDR и ждет ответа. Все время ожидания статус коллектора будет желтый, а после получения первого ответа на отправленный запрос статус коллектора сменится на зеленый.

В результате интеграция настроена и вы можете просмотреть поступающие из KEDR события в разделе KUMA → События.

При первом запросе поступит часть исторических событий, которые произошли до момента интеграции. Когда все исторические события поступят, начнут поступать текущие события. Если вы измените значение параметра URL или Внешний ID для существующего коллектора, KEDR примет запрос как новый и после запуска коллектора KUMA с измененными параметрами вы снова получите часть исторических событий. Если вы не хотите получать исторические события, перейдите в параметры настройки нужного коллектора, настройте в нормализаторе сопоставление полей timestamp KEDR и KUMA и на шаге мастера установки коллектора Фильтрация событий укажите фильтр по timestamp так, чтобы значение timestamp событий было больше, чем значение timestamp запуска коллектора.

Возможные ошибки и способы решения

Если в журнале коллектора ошибка "Conflict: An external system with the following ip and certificate digest already exists. Either delete it or provide a new certificate", необходимо создать новый секрет с новым сертификатом в коннекторе коллектора.

Если в журнале коллектора возникает ошибка "Continuation token not found" в ответ на запрос событий, нужно создать новый коннектор, прикрепить его к коллектору и перезапустить коллектор, или создать новый секрет с новым сертификатом в коннекторе коллектора. Если нет необходимости получать события, которые были сформированы до возникновения ошибки, следует настроить в коллекторе фильтр по Timestamp.

Настройка отображения ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации о событии KUMA

При получении обнаружений Kaspersky Endpoint Detection and Response в KUMA создается алерт для каждого обнаружения. Вы можете настроить отображение ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации об алерте KUMA.

Вы можете настроить отображение ссылки на обнаружение, если используете только один сервер Central Node Kaspersky Endpoint Detection and Response. Если Kaspersky Endpoint Detection and Response используется в режиме распределенного решения, настроить отображение ссылок в KUMA на обнаружения Kaspersky Endpoint Detection and Response невозможно.

Для настройки отображения ссылки на обнаружение в информации об алерте KUMA вам требуется выполнить действия в веб-интерфейсе Kaspersky Endpoint Detection and Response и KUMA.

В веб-интерфейсе Kaspersky Endpoint Detection and Response вам нужно настроить интеграцию программы с KUMA в качестве SIEM-системы. Подробнее о том, как настроить интеграцию, см. в справке Kaspersky Anti Targeted Attack Platform в разделе Настройка интеграции с SIEM-системой.

Настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

1. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории.
2. Создание правила корреляции.
3. Создание коррелятора.

Вы можете использовать преднастроенное корреляционное правило. В этом случае настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

1. Создание коррелятора.

   В качестве правила корреляции вам нужно выбрать правило [OOTB] KATA Alert.

2. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории КАТА standAlone.

Шаг 1. Добавление актива и назначение ему категории

Предварительно вам нужно создать категорию, которая будет назначена добавляемому активу.

Чтобы добавить категорию:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. На вкладке Все активы разверните список категорий тенанта, нажав на кнопку рядом с его названием.
3. Выберите требуемую категорию или подкатегорию и нажмите на кнопку Добавить категорию.

   В правой части окна веб-интерфейса отобразится область деталей Добавить категорию.

4. Укажите параметры категории:
   1. В поле Название введите название категории.
   2. В поле Родительская категория укажите место категории в дереве категорий. Для этого нажмите на кнопку и выберите родительскую категорию для создаваемой вами категории.

      Выбранная категория отобразится в поле Родительская категория.

   3. При необходимости укажите значения для следующих параметров:
      • Назначьте уровень важности категории в раскрывающемся списке Уровень важности.

        Указанный уровень важности присваивается корреляционным событиям и алертам, связанным с этим активом.

      • При необходимости в поле Описание добавьте описание категории.
      • В раскрывающемся списке Способ категоризации выберите, как категория будет пополняться активами. В зависимости от выбора может потребоваться указать дополнительные параметры:
        • Вручную – активы можно привязать к категории только вручную.
        • Активно – активы будут с определенной периодичностью привязываться к категории, если удовлетворяют заданному фильтру.
          1. В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.

             Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.

          2. В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.

             Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять с помощью кнопок Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.

             Операнды и операторы фильтра категоризации

             Операнд	Операторы	Комментарий
             Номер сборки	>, >=, =, <=, <
             ОС	=, like	Оператор like обеспечивает регистронезависимый поиск.
             IP-адрес	inSubnet, inRange	IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24). При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.
             Полное доменной имя	=, like	Оператор like обеспечивает регистронезависимый поиск.
             CVE	=, in	Оператор in позволяет указать массив значений.
             ПО	=, like
             КИИ	in	Можно выбрать более одного значения.
             Последнее обновление антивирусных баз	>=,<=
             Последнее обновление информации	>=,<=
             Последнее обновление защиты	>=,<=
             Время начала последней сессии	>=,<=
             Расширенный статус KSC	in	Расширенный статус устройства. Можно выбрать более одного значения.
             Статус постоянной защиты	=	Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.
             Статус шифрования	=
             Статус защиты от спама	=
             Статус антивирусной защиты почтовых серверов	=
             Статус защиты данных от утечек	=
             Идентификатор расширенного статуса KSC	=
             Статус Endpoint Sensor	=
             Последнее появление в сети	>=,<=

          3. С помощью кнопки Проверить условия убедитесь, что указанный фильтр верен: при нажатии на кнопку отображается окно Активы, найденные по заданным условиям с перечнем активов, удовлетворяющих условиям поиска.
        • Реактивно – категория будет наполняться активами с помощью правил корреляции.
5. Нажмите на кнопку Сохранить.

Чтобы добавить актив:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. Нажмите на кнопку Добавить актив.

   В правой части окна откроется область деталей Добавить актив.

3. Укажите следующие параметры актива:
   1. В поле Название актива введите имя актива.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать актив.
   3. В поле IP-адрес укажите IP-адрес сервера Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения.
   4. В поле Категории выберите категорию, которую добавили на предыдущем этапе.

      Если вы используете предустановленное корреляционное правило, вам нужно выбрать категорию КАТА standAlone.

   5. При необходимости укажите значения для следующих полей:
      • В поле Полное доменное имя укажите FQDN сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле MAC-адрес укажите MAC-адрес сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле Владелец укажите имя владельца актива.
4. Нажмите на кнопку Сохранить.

Шаг 2. Добавление правила корреляции

Чтобы добавить правило корреляции:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Правила корреляции и нажмите на кнопку Создать правило корреляции.
3. На вкладке Общие укажите следующие параметры:
   1. В поле Название укажите название правила.
   2. В раскрывающемся списке Тип выберите simple.
   3. В поле Наследуемые поля добавьте следующие поля: DeviceProduct, DeviceAddress, EventOutcome, SourceAssetID, DeviceAssetID.
   4. При необходимости укажите значения для следующих полей:
      • В поле Частота срабатывания укажите максимальное количество срабатываний правила в секунду.
      • В поле Уровень важности укажите уровень важности алертов и корреляционных событий, которые будут созданы в результате срабатывания правила.
      • В поле Описание укажите любую дополнительную информацию.
4. На вкладке Селекторы → Параметры укажите следующие параметры:
   1. В раскрывающемся списке Фильтр выберите Создать.
   2. В поле Условия нажмите на кнопку Добавить группу.
   3. В поле с оператором для добавленной группы выберите И.
   4. Добавьте условие для фильтрации по значению KATA:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceProduct.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите KATA.
   5. Добавьте условие для фильтрации по категории:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceAssetID.
      5. В поле оператор выберите inCategory.
      6. В поле Правый операнд выберите константа.
      7. Нажмите на кнопку .
      8. Выберите категорию, в которую вы поместили актив сервера Central Node Kaspersky Endpoint Detection and Response.
      9. Нажмите на кнопку Сохранить.
   6. В поле Условия нажмите на кнопку Добавить группу.
   7. В поле с оператором для добавленной группы выберите ИЛИ.
   8. Добавьте условие для фильтрации по идентификатору класса события:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceEventClassID.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите taaScanning.
   9. Повторите шаги 1–7 пункта f для каждого из следующих идентификаторов классов событий:
      • file_web.
      • file_mail.
      • file_endpoint.
      • file_external.
      • ids.
      • url_web.
      • url_mail.
      • dns.
      • iocScanningEP.
      • yaraScanningEP.
5. На вкладке Действия укажите следующие параметры:
   1. В разделе Действия откройте раскрывающийся список На каждом событии.
   2. Установите флажок Отправить на дальнейшую обработку.
   3. В разделе Обогащение нажмите на кнопку Добавить обогащение.
   4. В раскрывающемся списке Тип источника данных выберите шаблон.
   5. В поле Шаблон введите https://{{.DeviceAddress}}:8443/katap/#/alerts?id={{.EventOutcome}}.
   6. В раскрывающемся списке Целевое поле выберите DeviceExternalID.
   7. При необходимости переведите переключатель Отладка в активное положение, чтобы зарегистристрировать информацию, связанную с работой ресурса, в журнал.
6. Нажмите на кнопку Сохранить.

Шаг 3. Создание коррелятора

Вам нужно запустить мастер установки коррелятора. На шаге 3 мастера вам требуется выбрать правило корреляции, добавленное при выполнении этой инструкции.

После завершения создания коррелятора в информации об алертах, созданных при получении обнаружений из Kaspersky Endpoint Detection and Response, будет отображаться ссылка на эти обнаружения. Ссылка отображается в информации о корреляционном событии (раздел Связанные события), в поле DeviceExternalID.

Если вы хотите, чтобы в поле DeviceHostName в информации об обнаружении отображался FQDN сервера Central Node Kaspersky Endpoint Detection and Response, вам нужно создать запись для этого сервера в системе DNS и на шаге 4 мастера создать правило обогащения с помощью DNS.