Настройка коллектора KUMA для получения событий Auditd.
Настройка сервера источника событий.
Проверка поступления событий Auditd в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий Auditd выполнена правильно, выполнив поиск связанных событий в веб-интерфейсе KUMA.

В этом разделе

Настройка коллектора KUMA для получения событий Auditd

Настройка сервера источника событий

В начало

Настройка коллектора KUMA для получения событий Auditd

На шаге Транспорт выберите тип коннектора TCP или UDP и переведите переключатель Auditd в активное положение.

После создания коллектора для настройки получения событий с помощью rsyslog требуется установить коллектор на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

В начало

Настройка сервера источника событий

Для передачи событий от сервера в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера в коллектор:

Проверьте, что на сервере источнике событий установлен сервис rsyslog. Для этого выполните следующую команду:
systemctl status rsyslog.service

Если сервис rsyslog не установлен на сервере, установите его, выполнив следующую команду:

yum install rsyslog

systemctl enable rsyslog.service

systemctl start rsyslog.service
Отредактируйте файл настроек сервиса audit.service /etc/audit/auditd.conf и измените значение параметра name_format, присвоив этому параметру значение NONE:
name_format=NONE

После изменения настроек перезапустите сервис auditd с помощью команды:

sudo systemctl restart auditd.service
В папке /etc/rsyslog.d создайте файл audit.conf со следующим содержанием в зависимости от используемого протокола:
- Для отправки событий по протоколу TCP:
  $ModLoad imfile
  
  $InputFileName /var/log/audit/audit.log
  
  $InputFileTag tag_audit_log:
  
  $InputFileStateFile audit_log
  
  $InputFileSeverity info
  
  $InputFileFacility local6
  
  $InputRunFileMonitor
  
  *.* @@<IP-адрес коллектора KUMA>:<порт коллектора KUMA>
  
  Например:
  
  *.* @@192.1.3.4:5858
- Для отправки событий по протоколу UDP:
  $ModLoad imfile
  
  $InputFileName /var/log/audit/audit.log
  
  $InputFileTag tag_audit_log:
  
  $InputFileStateFile audit_log
  
  $InputFileSeverity info
  
  $InputFileFacility local6
  
  $InputRunFileMonitor
  
  template(name="AuditFormat" type="string" string="<%PRI%>%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag% %msg%\n")
  
  *.* @<IP-адрес коллектора KUMA>:<порт коллектора KUMA>
  
  Например:
  
  *.* @192.1.3.4:5858;AuditFormat
Сохраните изменения в файле audit.conf.
Перезапустите сервис rsyslog, выполнив следующую команду:
systemctl restart rsyslog.service

Сервер источника событий настроен. Данные о событиях передаются с сервера в коллектор KUMA.

В начало

Настройка получения событий KATA/EDR

Вы можете настроить получение событий программы Kaspersky Anti Targeted Attack Platform в

SIEM-систему

KUMA.

Перед настройкой получения событий убедитесь, что вы создали коллектор KUMA для событий KATA/EDR.

При создании коллектора в веб-интерфейсе KUMA убедитесь, что номер порта и тип коннектора совпадают с портом и протоколом, указанными в параметрах передачи событий Kaspersky Anti Targeted Attack Platform в KUMA.

Для получения событий Kaspersky Anti Targeted Attack Platform с помощью Syslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] KATA.

Настройка получения событий KATA/EDR состоит из следующих этапов:

Настройка пересылки событий KATA/EDR
Установка коллектора KUMA в сетевой инфраструктуре
Проверка поступления событий KATA/EDR в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий KATA/EDR выполнена правильно, выполнив поиск связанных событий в веб-интерфейсе KUMA. События Kaspersky Anti Targeted Attack Platform отображаются в таблице с результатами поиска как KATA.

В этом разделе

Настройка передачи событий KATA/EDR в KUMA

Создание коллектора KUMA для получения событий KATA/EDR

Установка коллектора KUMA для получения событий KATA/EDR

В начало

Настройка передачи событий KATA/EDR в KUMA

Чтобы настроить передачу событий из программы Kaspersky Anti Targeted Attack Platform в KUMA:

В браузере на любом компьютере, на котором разрешен доступ к серверу Central Node, введите IP-адрес сервера с компонентом Central Node.
Откроется окно ввода учетных данных пользователя Kaspersky Anti Targeted Attack Platform.
В окне ввода учетных данных пользователя установите флажок Локальный администратор и введите данные Администратора.
Перейдите в раздел Параметры → SIEM-система.
Укажите следующие параметры:
1. Установите флажки Журнал активности и Обнаружения.
2. В поле Хост/IP введите IP-адрес или имя хоста коллектора KUMA.
3. В поле Порт укажите номер порта подключения к коллектору KUMA.
4. В поле Протокол выберите из списка TCP или UDP.
5. В поле ID хоста укажите идентификатор хоста сервера, который будет указан в журнале SIEM-систем как источник обнаружения.
6. В поле Периодичность сигнала введите интервал отправки сообщений: от 1 до 59 минут.
7. При необходимости, включите TLS-шифрование.
8. Нажмите на кнопку Применить.

Передача событий Kaspersky Anti Targeted Attack Platform в KUMA настроена.

В начало

Создание коллектора KUMA для получения событий KATA/EDR

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Kaspersky Anti Targeted Attack Platform.

Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.

При создании коллектора в веб-интерфейсе KUMA убедитесь, что номер порта соответствует порту, указанному в пункте 4c настроек для передачи событий Kaspersky Anti Targeted Attack Platform в KUMA, а тип коннектора соответствует типу, указанному в пункте 4d.

В начало

Установка коллектора KUMA для получения событий KATA/EDR

После создания коллектора для настройки получения событий Kaspersky Anti Targeted Attack Platform требуется установить новый коллектор на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

В начало

Настройка передачи событий Kaspersky Security Center в SIEM-систему KUMA

KUMA позволяет получать и передавать события от Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA.

Настройка передачи и получения событий Kaspersky Security Center состоит из следующих этапов:

Настройка передачи событий Kaspersky Security Center.
Настройка коллектора KUMA.
Установка коллектора KUMA в сетевой инфраструктуре.
Проверка поступления событий Kaspersky Security Center в коллектор KUMA.
Вы можете проверить, что экспорт событий из Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA выполнен правильно, выполнив поиск связанных событий в веб-интерфейсе KUMA с помощью веб-интерфейса KUMA.

Чтобы отобразить события Kaspersky Security Center в таблице, введите следующее поисковое выражение:

SELECT * FROM `events` WHERE DeviceProduct = 'KSC' ORDER BY Timestamp DESC LIMIT 250

В этом разделе

Настройка передачи событий Kaspersky Security Center в формате CEF

Настройка коллектора KUMA для сбора событий Kaspersky Security Center

Установка коллектора KUMA для сбора событий Kaspersky Security Center

В начало

Настройка передачи событий Kaspersky Security Center в формате CEF

Kaspersky Security Center позволяет настроить параметры экспорта событий в SIEM-систему в формате CEF.

Функция экспорта событий Kaspersky Security Center в SIEM-системы в формате CEF доступна при наличии лицензии Kaspersky Endpoint Security для бизнеса Расширенный или выше.

Чтобы настроить передачу событий от Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA:

В дереве консоли Kaspersky Security Center выберите узел Сервер администрирования.
В рабочей области узла выберите вкладку События.
Перейдите по ссылке Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите Настроить экспорт в SIEM-систему.
Откроется окно Свойства: События. По умолчанию откроется раздел Экспорт событий.
В разделе Экспорт событий установите флажок Автоматически экспортировать события в базу SIEM-системы.
В раскрывающемся списке SIEM-система выберите ArcSight (CEF-формат).
Укажите адрес сервера SIEM-системы KUMA и порт для подключения к серверу в соответствующих полях. В качестве протокола выберите TCP/IP.
Вы можете нажать на кнопку Экспортировать архив и указать дату, начиная с которой уже созданные события KUMA будут экспортироваться в базу SIEM-системы. По умолчанию Kaspersky Security Center экспортирует события с текущей даты.
Нажмите на кнопку ОК.

В результате Сервер администрирования Kaspersky Security Center будет автоматически экспортировать все события в SIEM-систему KUMA.

В начало

Настройка коллектора KUMA для сбора событий Kaspersky Security Center

После завершения настройки экспорта событий от Сервера администрирования Kaspersky Security Center в формате CEF вам нужно настроить коллектор в веб-интерфейсе KUMA.

Чтобы настроить коллектор KUMA для событий Kaspersky Security Center:

В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.
В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC и нажмите на него, чтобы открыть для редактирования.
На шаге Транспорт в поле URL укажите порт, по которому коллектор будет получать события Kaspersky Security Center.
Порт должен совпадать с портом сервера SIEM-системы KUMA.
На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC.
На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
На шаге Проверка параметров нажмите Сохранить и создать сервис.
Скопируйте появившуюся команду для установки коллектора KUMA.

В начало

Установка коллектора KUMA для сбора событий Kaspersky Security Center

После завершения настройки коллектора для сбора событий Kaspersky Security Center в формате CEF требуется установить коллектор KUMA на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

В начало

Настройка получения событий Kaspersky Security Center из MS SQL

KUMA позволяет получать информацию о событиях Kaspersky Security Center из базы данных MS SQL (далее MS SQL).

Перед настройкой убедитесь, что вы создали коллектор KUMA для событий Kaspersky Security Center из MS SQL.

При создании коллектора в веб-интерфейсе KUMA на шаге Транспорт выберите коннектор [OOTB] KSC SQL.

Для получения событий Kaspersky Security Center из БД MS SQL на шаге Парсинг событий выберите нормализатор [OOTB] KSC from SQL

Настройка получения событий состоит из следующих этапов:

Создание учетной записи в MS SQL.
Настройка службы SQL Server Browser.
Создание секрета.
Настройка коннектора.
Установка коллектора в сетевой инфраструктуре.
Проверка поступления событий из MS SQL в коллектор KUMA.
Вы можете проверить, что настройка поступления событий из MS SQL выполнена правильно, выполнив поиск связанных событий в веб-интерфейсе KUMA.

В этом разделе

Создание учетной записи в MS SQL

Настройка службы SQL Server Browser

Создание секрета в KUMA

Настройка коннектора

Настройка коллектора KUMA для получения событий Kaspersky Security Center из MS SQL

Установка коллектора KUMA для получения событий Kaspersky Security Center из MS SQL

В начало

Создание учетной записи в MS SQL

Для получения событий Kaspersky Security Center из MS SQL требуется учетная запись, которая имеет права, необходимые для подключения и работы с базой данных.

Чтобы создать учетную запись для работы с MS SQL:

Войдите на сервер с установленной MS SQL для Kaspersky Security Center.
С помощью SQL Server Management Studio подключитесь к MS SQL под учетной записью с правами администратора.
В панели Object Explorer раскройте раздел Security.
Нажмите правой кнопкой мыши на папку Logins и в контекстном меню выберите New Login.
Откроется окно Login - New.
На вкладке General нажмите на кнопку Search рядом с полем Login name.
Откроется окно Select User or Group.
В поле Enter the object name to select (examples) укажите имя объекта и нажмите ОК.
Окно Select User or Group закроется.
В окне Login - New на вкладке General выберите опцию Windows authentication.
В поле Default database выберите БД Kaspersky Security Center.
По умолчанию имя БД Kaspersky Security Center: KAV.
На вкладке User Mapping настройте права для учетной записи:
1. В разделе Users mapped to this login выберите БД Kaspersky Security Center.
2. В разделе Database role membership for установите флажки возле прав db_datareader и public.
На вкладке Status настройте права для подключения учетной записи к базе данных:
- В разделе Permission to connect to database engine выберите Grant.
- В разделе Login выберите Enabled.
Нажмите ОК.
Окно Login - New закроется.

Чтобы проверить права учетной записи:

Запустите SQL Server Management Studio под созданной учетной записью.
Перейдите в любую таблицу MS SQL и сделайте выборку по таблице.

В начало

Настройка службы SQL Server Browser

После создания учетной записи в MS SQL требуется настроить службу SQL Server Browser.

Чтобы настроить службу SQL Server Browser:

Откройте SQL Server Configuration Manager.
В левой панели выберите SQL Server Services.
Откроется список служб.
Откройте свойства службы SQL Server Browser одним из следующих способов:
- Дважды нажмите на название службы SQL Server Browser.
- Нажмите правой кнопкой мыши на название службы SQL Server Browser и в контекстном меню выберите Properties.
В открывшемся окне SQL Server Browser Properties выберите вкладку Service.
В поле Start Mode выберите Automatic.
Выберите вкладку Log On и нажмите на кнопку Start.
Автоматический запуск службы SQL Server Browser включен.
Включите и настройте протокол TCP/IP, выполнив следующие действия:
1. В левой панели раскройте раздел SQL Server Network Configuration и выберите подраздел Protocols for <Имя SQL-сервера>.
2. Нажмите правой кнопкой мыши на протокол TCP/IP и в контекстом меню выберите Enable.
3. В появившемся окне Warning нажмите OK.
4. Откройте свойства протокола TCP/IP одним из следующих способов:
  - Дважды нажмите на протокол TCP/IP.
  - Нажмите правой кнопкой мыши на протокол TCP/IP и в контекстном меню выберите Properties.
5. Выберите вкладку IP Addresses, а затем в разделе IPALL в поле TCP Port укажите порт 1433.
6. Нажмите на кнопку Apply, чтобы сохранить внесенные изменения.
7. Нажмите на кнопку ОК, чтобы закрыть окно.
Перезагрузите службу SQL Server (<Имя SQL-сервера>), выполнив следующие действия:
1. В левой панели выберите SQL Server Services.
2. В списке служб справа нажмите правой кнопкой мыши на службу SQL Server (<Имя SQL-сервера>) и в контекстном меню выберите Restart.
В Брандмауэре защитника Windows в режиме повышенной безопасности разрешите на сервере входящие подключения по порту TCP 1433.

В начало

Создание секрета в KUMA

После создания и настройки учетной записи в MS SQL требуется добавить секрет в веб-интерфейсе KUMA. Этот ресурс используется для хранения учетных данных для подключения к MS SQL.

Чтобы создать секрет в в KUMA:

Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.
Отобразится список доступных секретов.
Нажмите на кнопку Добавить секрет, чтобы создать новый секрет.
Откроется окно секрета.
Введите данные секрета:
1. В поле Название выберите имя для добавляемого секрета.
2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
3. В раскрывающемся списке Тип выберите urls.
4. В поле URL укажите строку вида:
  sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/<database_name>
  
  где:
  - domain – имя домена.
  - %5C – разделитель домена и пользователя. Представляет собой знак "\" в URL-формате.
  - username – имя созданной учетной записи MS SQL.
  - password – пароль созданной учетной записи MS SQL.
  - server – имя или IP-адрес сервера с базой данных MS SQL, установленной для Kaspersky Security Center.
  - database_name – имя БД Kaspersky Security Center. Имя по умолчанию: KAV.
  Пример:
  
  sqlserver://test.local%5Cuser:password123@10.0.0.1:1433/KAV
  
  Если в пароле учетной записи БД MS SQL используются специальные символы (@ # $ % & * ! + = [ ] : ' , ? / \ ` ( ) ;), переведите их в формат URL.
Нажмите Сохранить.
Из соображений безопасности после сохранения секрета строка, указанная в поле URL, скрывается.

В начало

Настройка коннектора

Для подключения KUMA к БД MS SQL требуется настроить коннектор.

Чтобы настроить коннектор:

В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
В списке коннекторов справа найдите коннектор [OOTB] KSC SQL и откройте его для редактирования.
Если коннектор недоступен для редактирования, скопируйте его и откройте для редактирования копию коннектора.

Если коннектор [OOTB] KSC SQL отсутствует, обратитесь к системному администратору.
На вкладке Основные параметры в раскрывающихся списках URL выберите секрет, созданный для подключения к БД MS SQL.
Нажмите Сохранить.

В начало

Настройка коллектора KUMA для получения событий Kaspersky Security Center из MS SQL

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Kaspersky Security Center из MS SQL.

Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.

При создании коллектора в веб-интерфейсе KUMA на шаге Транспорт выберите коннектор [OOTB] KSC SQL.

Для получения событий Kaspersky Security Center из MS SQL на шаге Парсинг событий выберите нормализатор [OOTB] KSC from SQL

В начало

Установка коллектора KUMA для получения событий Kaspersky Security Center из MS SQL

После завершения настройки коллектора для получения событий Kaspersky Security Center из MS SQL требуется установить коллектор KUMA на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

В начало

Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)

KUMA позволяет получать информацию о событиях с устройств Windows с помощью Агента KUMA типа WEC.

Настройка получения событий состоит из следующих этапов:

Настройка политик получения событий с устройств Windows.
Настройка централизованного получения событий с помощью службы Windows Event Collector.
Предоставление прав для просмотра событий.
Предоставление прав входа в качестве службы.
Настройка коллектора KUMA.
Установка коллектора KUMA.
Передача в KUMA событий с устройств Windows.

В этом разделе

Настройка аудита событий с устройств Windows

Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector

Предоставление прав для просмотра событий Windows

Предоставление прав входа в качестве службы

Настройка коллектора KUMA для получения событий с устройств Windows

Установка коллектора KUMA для получения событий с устройств Windows

Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)

В начало

Настройка аудита событий с устройств Windows

Вы можете настроить аудит событий на устройствах Windows как на конкретном устройстве, так и на всех устройствах в домене.

В этом разделе описывается настройка аудита на отдельном устройстве, а также настройка аудита с помощью групповой политики домена.

В этом разделе

Настройка политики аудита на устройстве Windows

Настройка аудита с помощью групповой политики

В начало

Настройка политики аудита на устройстве Windows

Чтобы настроить политики аудита на устройстве:

Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос secpol.msc и нажмите OK.
Откроется окно Локальная политика безопасности.
Перейдите в раздел Параметры безопасности → Локальные политики → Политика аудита.
В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.
Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:
- Аудит входа в систему
- Аудит изменения политики
- Аудит системных событий
- Аудит событий входа в систему
- Аудит управления учетными записями

Настройка политики аудита на устройстве завершена.

В начало

Настройка аудита с помощью групповой политики

Помимо настройки политики аудита на отдельном устройстве, вы также можете настроить аудит с помощью групповой политики домена.

Чтобы настроить аудит с помощью групповой политики:

Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос gpedit.msc и нажмите OK.
Откроется окно Редактор локальной групповой политики.
Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита.
В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.
Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:
- Аудит входа в систему
- Аудит изменения политики
- Аудит системных событий
- Аудит событий входа в систему
- Аудит управления учетными записями

Если вы хотите получать журналы Windows c большого количества серверов или если установка агентов KUMA на контроллеры домена не допускается, рекомендуется настроить перенаправление журналов Windows на отдельные серверы с настроенной службой Windows Event Collector.

Настройка политики аудита на сервере или рабочей станции завершена.

В начало

Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector

Служба Windows Event Collector позволяет централизованно получать данные о событиях на серверах и рабочих станциях под управлением ОС Windows. С помощью службы Windows Event Collector вы можете подписаться на события, которые регистрируются на удаленных устройствах.

Вы можете настроить следующие типы подписок на события:

Source-initiated subscriptions. Удаленные устройства отправляют данные о событиях на сервер Windows Event Collector, адрес которого указывается в групповой политике. Подробнее о процедуре настройки подписки см. в разделе Настройка передачи данных с сервера источника событий.
Collector-initiated subscriptions. Сервер Windows Event Collector подключается к удаленным устройствам и самостоятельно забирает события из локальных журналов. Подробнее о процедуре настройки подписки см. в разделе Настройка сервиса получения событий Windows.

В этом разделе

Настройка передачи данных с сервера источника событий

Настройка сервиса получения событий Windows

В начало

Настройка передачи данных с сервера источника событий

Вы можете получать информацию о событиях на серверах и рабочих станциях, настроив передачу данных с удаленных устройств на сервер Windows Event Collector.

Предварительная подготовка

Проверьте, что служба Windows Remote Management настроена на сервере источника событий, выполнив следующую команду в консоли PowerShell:
winrm get winrm/config

Если служба Windows Remote Management не настроена, инициализируйте ее, выполнив следующую команду:

winrm quickconfig
Если сервер источника событий является контроллером домена, откройте доступ по сети к журналам Windows, выполнив следующую команду в консоли PowerShell, запущенной от имени администратора:
wevtutil set-log security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

Проверьте наличие доступа, выполнив следующую команду:

wevtutil get-log security

Настройка брандмауэра сервера источника событий

Для того чтобы сервер Windows Event Collector мог получать записи журналов Windows, требуется открыть порты для входящих соединений на сервере источника событий.

Чтобы открыть порты для входящих соединений:

На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос wf.msc и нажмите OK.
Откроется окно Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.
Перейдите в раздел Правила для входящих подключений и в панели Действия нажмите Создать правило.
Откроется Мастер создания правила для нового входящего пользователя.
На шаге Тип правила выберите Для порта.
На шаге Протоколы и порты в качестве протокола выберите Протокол TCP. В поле Определенные локальные порты укажите номера портов:
- 5985 (для доступа по HTTP)
- 5986 (для доступа по HTTPS)
Вы можете указать один из портов или оба.
На шаге Действие выберите Разрешить подключение (выбрано по умолчанию).
На шаге Профиль снимите флажки Частный и Публичный.
На шаге Имя укажите имя правила для нового входящего подключения и нажмите Готово.

Настройка передачи данных с сервера источника событий завершена.

Сервер Windows Event Collector должен обладать правами для чтения журналов Windows на сервере источника событий. Права могут быть предоставлены как учетной записи сервера Windows Event Collector, так и специальной пользовательской учетной записи. Подробнее о предоставлении прав см. в разделе Предоставление прав пользователю для просмотра журнала событий Windows.

В начало

Настройка сервиса получения событий Windows

Сервер Windows Event Collector может самостоятельно подключаться к устройствам и забирать данные о событиях любого уровня важности.

Чтобы настроить получение данных о событиях сервером Windows Event Collector:

На сервере-источнике событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос services.msc и нажмите OK.
Откроется окно Службы.
В списке служб найдите службу Сборщик событий Windows и запустите ее.
Откройте оснастку Просмотр событий, выполнив следующие действия:
1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос eventvwr и нажмите OK.
Перейдите в раздел Подписки и в панели Действия нажмите Создать подписку.
В открывшемся окне Свойства подписки задайте имя и описание подписки, а также следующие параметры:
1. В поле Конечный журнал выберите из списка Перенаправленные события.
2. В разделе Тип подписки и исходные компьютеры нажмите на кнопку Выбрать компьютеры.
3. В открывшемся окне Компьютеры нажмите на кнопку Добавить доменный компьютер.
  Откроется окно Выбор: "Компьютер".
4. В поле Введите имена выбираемых объектов (примеры) перечислите имена устройств, с которых вы хотите получать информацию о событиях. Нажмите ОК.
5. В окне Компьютеры проверьте список устройств, с которых сервер Windows Event Collector будет забирать данные о событиях и нажмите ОК.
6. В окне Свойства подписки в поле Собираемые события нажмите на кнопку Выбрать события.
7. В открывшемся окне Фильтр запроса укажите, как часто и какие данные о событиях на устройствах вы хотите получать.
8. При необходимости в поле <Все коды событий> перечислите коды событий, информацию о которых вы хотите или не хотите получать. Нажмите ОК.
Если вы хотите использовать специальную учетную запись для просмотра данных о событиях, выполните следующие действия:
1. В окне Свойства подписки нажмите на кнопку Дополнительно.
2. В открывшемся окне Дополнительные параметры подписки в настройках учетной записи пользователя выберите Определенный пользователь.
3. Нажмите на кнопку Пользователь и пароль и задайте учетные данные выбранного пользователя.

Настройка сервиса получения событий завершена.

Чтобы проверить, что настройка выполнена правильно и данные о событиях поступают на сервер Windows Event Collector,

в оснастке Просмотр событий перейдите в раздел Просмотр событий (Локальный) → Журналы Windows → Перенаправленные события.

В начало

Предоставление прав для просмотра событий Windows

Вы можете предоставить права для просмотра событий Windows как для конкретного устройства, так и для всех устройств в домене.

Чтобы предоставить права для просмотра событий на конкретном устройстве:

Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос compmgmt.msc и нажмите OK.
Откроется окно Управление компьютером.
Перейдите в раздел Управление компьютером (локальным) → Локальные пользователи и группы → Группы.
В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.
Внизу окна Свойства: Читатели журнала событий нажмите на кнопку Добавить.
Откроется окно Выбор пользователя, компьютера или группы.
В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

Чтобы предоставить права для просмотра событий всех устройств в домене:

Зайдите в контроллер домена с правами администратора.
Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос dsa.msc и нажмите OK.
Откроется окно Active Directory Пользователи и Компьютеры.
Перейдите в раздел Active Directory Пользователи и Компьютеры → <Имя домена> → Builtin.
В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.
В окне Свойства: Читатели журнала событий откройте вкладку Члены и нажмите на кнопку Добавить.

Откроется окно Выбор пользователя, компьютера или группы.
В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

В начало

Предоставление прав входа в качестве службы

Вы можете предоставить право на вход в систему в качестве службы как конкретному устройству, так и всем устройствам в домене. Право входа в систему в качестве службы позволяет запустить процесс от имени учетной записи, которой это право предоставлено.

Чтобы предоставить право на вход в качестве службы устройству:

Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос secpol.msc и нажмите OK.
Откроется окно Локальная политика безопасности.
Перейдите в раздел Параметры безопасности → Локальные политики → Назначение прав пользователя.
В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить Пользователя или Группу.
Откроется окно Выбор пользователей или групп.
В поле Введите имена выбираемых объектов (примеры) перечислите имена учетных записей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.

Перед предоставлением права убедитесь, что учетные записи или устройства, которым вы собираетесь предоставить право Вход в качестве службы, отсутствуют в свойствах политики Отказ во входе в качестве службы.

Чтобы предоставить право на вход в качестве службы устройствам в домене:

Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос gpedit.msc и нажмите OK.
Откроется окно Редактор локальной групповой политики.
Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Назначение прав пользователя.
В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить Пользователя или Группу.
Откроется окно Выбор пользователей или групп.
В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.

В начало

Настройка коллектора KUMA для получения событий с устройств Windows

После завершения настройки политики аудита на устройствах, а также создания подписок на события и предоставления всех необходимых прав, требуется создать коллектор в веб-интерфейсе KUMA для событий с устройств Windows.

Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.

Для получения событий от устройств Windows в мастере установки коллектора KUMA укажите следующие параметры коллектора:

На шаге Транспорт укажите следующие параметры:
1. В поле Коннектор выберите Создать.
2. В поле Тип выберите http.
3. В поле Разделитель выберите \0.
На вкладке Дополнительные параметры в поле Режим TLS выберите С верификацией.
На шаге Парсинг событий нажмите на кнопку Добавить парсинг событий.
В открывшемся окне Основной парсинг событий в поле Нормализатор выберите [OOTB] Microsoft Products и нажмите ОК.
На шаге Маршрутизация добавьте следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их
На шаге Проверка параметров нажмите Сохранить и создать сервис.
Скопируйте появившуюся команду для установки коллектора KUMA.

В начало

Установка коллектора KUMA для получения событий с устройств Windows

После завершения настройки коллектора для получения событий Windows требуется установить коллектор KUMA на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

В начало

Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)

Чтобы завершить настройку передачи данных, требуется создать агент KUMA типа WEC, а затем установить его на устройстве, с которого вы хотите получать информацию о событиях.

Подробнее о создании и установке агента KUMA типа WEC на устройства Windows см. в разделе Передача в KUMA событий с устройств Windows.

В начало

Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)

KUMA позволяет получать информацию о событиях с устройств Windows с помощью Агента KUMA типа WMI.

Настройка получения событий состоит из следующих этапов:

Настройка параметров аудита для работы с KUMA.
Настройка передачи данных с сервера источника событий.
Предоставление прав для просмотра событий.
Предоставление прав входа в качестве службы.
Создание коллектора KUMA.
Для получения событий от устройств Windows в мастере установки коллектора KUMA на шаге Парсинг событий в поле Нормализатор выберите [OOTB] Microsoft Products.
Установка коллектора KUMA.
Передача в KUMA событий с устройств Windows.
Чтобы завершить настройку передачи данных, требуется создать агент KUMA типа WMI, а затем установить его на устройстве, с которого вы хотите получать информацию о событиях.

В этом разделе

Настройка параметров аудита для работы с KUMA

Настройка передачи данных с сервера источника событий

Предоставление прав для просмотра событий Windows

Предоставление прав входа в качестве службы

В начало

Настройка параметров аудита для работы с KUMA

Вы можете настроить аудит событий на устройствах Windows как на конкретном устройстве с помощью локальной политики, так и на всех устройствах в домене с помощью групповой политики.

В этом разделе

Настройка аудита с помощью локальной политики

Настройка аудита с помощью групповой политики

В начало

Настройка аудита с помощью локальной политики

Чтобы настроить аудит с помощью локальной политики:

Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос secpol.msc и нажмите OK.
Откроется окно Локальная политика безопасности.
Перейдите в раздел Параметры безопасности → Локальные политики → Политика аудита.
В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.
Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:
- Аудит входа в систему
- Аудит изменения политики
- Аудит системных событий
- Аудит событий входа в систему
- Аудит управления учетными записями

Настройка политики аудита на устройстве завершена.

В начало

Настройка аудита с помощью групповой политики

Помимо настройки аудита на отдельном устройстве вы также можете настроить аудит с помощью групповой политики домена.

Чтобы настроить аудит с помощью групповой политики:

Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос gpedit.msc и нажмите OK.
Откроется окно Редактор локальной групповой политики.
Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита.
В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.
Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:
- Аудит входа в систему
- Аудит изменения политики
- Аудит системных событий
- Аудит событий входа в систему
- Аудит управления учетными записями

Настройка политики аудита на сервере или рабочей станции завершена.

В начало

Настройка передачи данных с сервера источника событий

Предварительная подготовка

На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос services.msc и нажмите OK.
Откроется окно Службы.
В списке служб найдите следующие службы:
- Удаленный вызов процедур
- Сопоставитель конечных точек RPC
Убедитесь, что в графе Состояние у этих служб отображается статус Выполняется.

Настройка брандмауэра сервера источника событий

Сервер Windows Management Instrumentation может получать записи журналов Windows, если открыты порты для входящих соединений на сервере источника событий.

Чтобы открыть порты для входящих соединений:

На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос wf.msc и нажмите OK.
Откроется окно Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.
В окне Монитор брандмауэра Защитника Windows в режиме повышенной безопасности перейдите в раздел Правила для входящих подключений и в панели Действия нажмите Создать правило.
Откроется Мастер создания правила для нового входящего подключения.
В Мастере создания правила для нового входящего подключения на шаге Тип правила выберите Для порта.
На шаге Протоколы и порты в качестве протокола выберите Протокол TCP. В поле Определенные локальные порты укажите номера портов:
- 135
- 445
- 49152-65535
На шаге Действие выберите Разрешить подключение (выбрано по умолчанию).
На шаге Профиль снимите флажки Частный и Публичный.
На шаге Имя укажите имя правила для нового входящего подключения и нажмите Готово.

Настройка передачи данных с сервера источника событий завершена.

В начало

Предоставление прав для просмотра событий Windows

Чтобы предоставить права для просмотра событий на конкретном устройстве:

Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос compmgmt.msc и нажмите OK.
Откроется окно Управление компьютером.
Перейдите в раздел Управление компьютером (локальным) → Локальные пользователи и группы → Группы.
В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.
Внизу окна Свойства: Читатели журнала событий нажмите на кнопку Добавить.
Откроется окно Выбор пользователя, компьютера или группы.
В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

Чтобы предоставить права для просмотра событий всех устройств в домене:

Зайдите в контроллер домена с правами администратора.
Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос dsa.msc и нажмите OK.
Откроется окно Active Directory Пользователи и Компьютеры.
В окне Active Directory Пользователи и Компьютеры перейдите в раздел Active Directory Пользователи и Компьютеры → <Имя домена> → Builtin.
В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.
В окне Свойства: Читатели журнала событий откройте вкладку Члены и нажмите на кнопку Добавить.

Откроется окно Выбор пользователя, компьютера или группы.
В окне Выбор пользователя, компьютера или группы в поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

В начало

Предоставление прав входа в качестве службы

Чтобы предоставить право на вход в качестве службы устройству:

Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос secpol.msc и нажмите OK.
Откроется окно Локальная политика безопасности.
В окне Локальная политика безопасности перейдите в раздел Параметры безопасности → Локальные политики → Назначение прав пользователя.
В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить пользователя или группу.
Откроется окно Выбор "Пользователи или "Группы".
В поле Введите имена выбираемых объектов (примеры) перечислите имена учетных записей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.

Чтобы предоставить право на вход в качестве службы устройствам в домене:

Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
В открывшемся окне введите запрос gpedit.msc и нажмите OK.
Откроется окно Редактор локальной групповой политики.
Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Назначение прав пользователя.
В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить пользователя или группу.
Откроется окно Выбор "Пользователи или "Группы".
В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.

В начало

Настройка получения событий DNS-сервера с помощью агента ETW

Коннектор Event Tracing for Windows (далее также коннектор ETW) – это механизм ведения журнала событий, создаваемых приложениями и драйверами на DNS-сервере. Вы можете использовать коннектор ETW для устранения ошибок при разработке, а также для поиска вредоносной активности.

Использование коннектора ETW оказывает незначительное влияние на производительность DNS-сервера. Например, DNS-сервер, который работает на современном оборудовании и получает до 100 000 запросов в секунду (англ. queries per second, QPS), может испытывать снижение производительности на 5% при использовании коннектора ETW. Если DNS-сервер получает до 50 000 запросов в секунду, снижение производительности не наблюдается. Мы рекомендуем следить за производительностью DNS-сервера при использовании коннектора ETW вне зависимости от количества запросов в секунду.

По умолчанию вы можете использовать коннектор ETW на операционной системе Windows Server, начиная с версии Windows Server 2016. Коннектор ETW также поддерживается версией Windows Server 2012 R2, если установлено исправление для ведения журнала событий и аудита изменений. Исправление доступно на сайте службы технической поддержки Microsoft.

Коннектор ETW состоит из следующих компонентов:

Поставщики или провайдеры (англ. providers) – элементы системы, которые генерируют события и отправляют их коннектору ETW. Например, поставщиками могут быть ядра Windows или драйвера устройств. При работе с кодом разработчикам нужно указать, какие события поставщики отправляют коннектору ETW. Событием может быть выполнение важной с точки зрения разработчика функции, например функции, которая открывает доступ к Security Account Manager (SAM).
Потребители (англ. consumers) – программные системы, получают от коннектора ETW события, сгенерированные поставщиками, после чего используют эти события. Например, потребителем может быть KUMA.
Контроллеры (англ. controllers) – программы, которые управляют взаимодействием между поставщиками и потребителями. Например, контроллерами могут быть утилиты Logman или Wevtutil. Поставщики регистрируются в контроллере для отправки событий потребителям. Контроллер может включить или выключить поставщика. Если поставщик выключен, он не генерирует события.

Для установки связи между поставщиками и потребителями контроллеры используют сессии трассировки. Сессии трассировки также используются для фильтрации данных по указанным параметрам, так как потребителям могут требоваться разные события.

Настройка получения событий DNS-сервера с помощью коннектора ETW состоит из следующих этапов:

Настройка на стороне Windows.
Создание коллектора KUMA.
При создании коллектора KUMA выполните следующие действия:
1. На 2-м шаге мастера установки коллектора выполните следующие действия:
  1. В раскрывающемся списке Тип выберите тип коннектора tcp. Вы также можете указать тип коннектора http и другие типы коннектора с верификацией для защищенной отправки.
  2. В поле URL введите FQDN и номер порта, на котором коллектор KUMA будет ожидать соединения от агента KUMA. Вы можете указать номер любого из незанятых портов.
  3. В поле Разделитель введите \n.
2. На 3-м шаге мастера установки коллектора в раскрывающемся списке Нормализатор выберите нормализатор. Мы рекомендуем выбрать предустановленный расширенный нормализатор для событий Windows [OOTB] Microsoft DNS ETW logs json.
3. На 7-м шаге мастера установки коллектора добавьте точку назначения с типом Хранилище для хранения событий. Если вы планируете использовать корреляцию по событиям, вам также нужно добавить точку назначения с типом Коррелятор.
4. На 8-м шаге мастера установки коллектора нажмите на кнопку Сохранить и создать сервис, после чего в нижней части окна скопируйте команду для установки коллектора KUMA на сервере.
Установка коллектора KUMA на сервере.
Выполните следующие действия:
1. Подключитесь к интерфейсу командной строки KUMA, используя учетную запись пользователя с правами root.
2. Установите коллектор KUMA, выполнив команду, которую вы скопировали на 8-м шаге мастера установки коллектора.
3. Если вы хотите добавить порт коллектора KUMA в исключения межсетевого экрана и обновить параметры межсетевого экрана, выполните команды:
  1. firewall-cmd --add-port=<номер порта коллектора>/tcp –permanent
  2. firewall-cmd --reload
Коллектор KUMA будет установлен, и статус сервиса коллектора KUMA изменится на зеленый в веб-интерфейсе KUMA.
Создание агента KUMA.
При создании агента KUMA выполните следующие действия:
1. Выберите вкладку Подключение 1.
2. В блоке параметров Коннектор раскрывающемся списке Коннектор выберите Создать и укажите следующие параметры:
  1. В раскрывающемся списке Тип выберите тип коннектора etw.
  2. В поле Имя сессии введите имя поставщика, которое вы указали при настройке получения событий DNS-сервера с помощью коннектора ETW на стороне Windows.
3. В блоке параметров Точки назначения в раскрывающемся списке Точка назначения выберите Создать и укажите следующие параметры:
  1. В раскрывающемся списке Тип выберите тип точки назначения tcp.
  2. В поле URL введите FQDN и номер порта, на котором коллектор KUMA будет ожидать соединения от агента KUMA. Введенное значение должно совпадать со значением, которое вы указали на 2-м шаге мастера установки коллектора.
4. Выберите вкладку Дополнительные параметры и в поле Размер дискового буфера введите 1073741824.
Создание сервиса агента KUMA.
Вам нужно скопировать идентификатор созданного сервиса агента KUMA. Для этого нажмите на правую кнопку мыши рядом с сервисом агента KUMA и в контекстном меню выберите пункт Копировать идентификатор.
Создание учетной записи для агента KUMA.
Создайте доменную или локальную учетную запись Windows для запуска агента KUMA и обеспечения доступа к чтению аналитического журнала. Вам нужно добавить созданную учетную запись в группу пользователей Пользователи журналов производительности (англ. Performance Log Users group), а также назначить этой учетной записи право Вход в качестве службы (англ. Log on service).
Установка агента KUMA на Windows-сервере.
Вам нужно установить агент KUMA на Windows-сервере, который будет обеспечивать прием событий от поставщика. Для этого выполните следующие действия:
1. Добавьте FQDN сервера KUMA Core в файл hosts на Windows-сервере, либо на DNS-сервер.
2. Создайте директорию C:\Users\<имя пользователя>\Desktop\KUMA на Windows-сервере.
3. Скопируйте файл kuma.exe из архива пакетов установки KUMA в директорию C:\Users\<имя пользователя>\Desktop\KUMA.
4. Запустите командную строку от имени администратора.
5. Перейдите в директорию C:\Users\<имя пользователя>\Desktop\KUMA и выполните команду:
  C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA>
  
  В веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы убедитесь, что сервис агента KUMA был запущен и его статус изменился на зеленый, после чего прервите выполнение команды.
6. Запустите установку агента KUMA одним из следующих способов:
  - Если вы хотите запустить установку агента KUMA с использованием доменной учетной записи, выполните команду:
    C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA> –-user <домен>\<имя учетной записи для агента KUMA> --install
  - Если вы хотите запустить установку агента с использованием локальной учетной записи, выполните команду:
    C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA> –-user <имя учетной записи для агента KUMA> --install
  Вам потребуется ввести пароль учетной записи для агента KUMA.
На Windows-сервере будет установлен сервис KUMA Windows Agent <идентификатор сервиса агента KUMA>. Если в веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы сервис агента KUMA не запущен и имеет красный статус, вам нужно убедиться в доступности портов 7210, а также порта коллектора Windows по направлению от агента KUMA к коллектору KUMA.

Для удаления сервиса агента KUMA на Windows-сервере выполните команду:

C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --id <идентификатор сервиса агента KUMA> --uninstall
Проверка поступления событий DNS-сервера в коллектор KUMA.
Вы можете проверить, что настройка получения событий DNS-сервера с помощью коннектора ETW выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В этом разделе

Настройка на стороне Windows

В начало

Настройка на стороне Windows

Чтобы настроить получение событий DNS-сервера с помощью коннектора ETW на стороне Windows:

Запустите Просмотр событий (англ. Event viewer), выполнив команду:
eventvwr.msc
В открывшемся окне перейдите в директорию Журналы приложений и служб → Microsoft → Windows → DNS-Server.
Откройте контекстное меню директории DNS-Server и выберите пункт Вид → Отобразить аналитический и отладочный журналы.

Отобразится отладочный журнал Audit и аналитический журнал Analytical.
Настройте аналитический журнал:
1. Откройте контекстное меню аналитического журнала Analytical и выберите пункт Свойства.
2. В открывшемся окне убедитесь, что в поле Макс. размер журнала (КБ) указано значение 1048576.
3. Установите флажок Включить ведение журнала и в открывшемся окне подтверждения нажмите на кнопку ОК.
  
  Параметры аналитического журнала должны быть настроены следующим образом:
4. Нажмите на кнопку Применить, после чего нажмите на кнопку ОК.
Отобразится окно с ошибкой.

При включенной ротации аналитического журнала события не отображаются. Для просмотра событий в панели Действия нажмите на кнопку Остановить журнал.
Запустите Управление компьютером (англ. Computer management) от имени администратора.
В открывшемся окне перейдите в директорию Служебные программы → Производительность → Сеансы отслеживания событий запуска.
Создайте поставщика:
1. Откройте контекстное меню директории Сеансы отслеживания событий запуска и выберите пункт Создать → Группа сборщиков данных.
2. В открывшемся окне введите имя поставщика и нажмите на кнопку Далее.
3. Нажмите на кнопку Добавить... и в открывшемся окне выберите поставщика Microsoft-Windows-DNSServer.
  
  Агент KUMA с коннектором ETW работает только с System.Provider.Guid: {EB79061A-A566-4698-9119-3ED2807060E7} - Microsoft-Windows-DNSServer.
4. Дважды нажмите на кнопку Далее, после чего нажмите на кнопку Готово.
Откройте контекстное меню созданного поставщика и выберите пункт Запустить как сеанс отслеживания событий.
Перейдите в директорию Сеансы отслеживания событий.
Отобразятся сеансы отслеживания событий.
Откройте контекстное меню созданного сеанса отслеживания событий и выберите пункт Свойства.
В открывшемся окне выберите вкладку Сеансы отслеживания и в раскрывающемся списке Режим потока выберите Режим реального времени.
Нажмите на кнопку Применить, после чего нажмите на кнопку ОК.

Настройка получения событий DNS-сервера с помощью коннектора ETW будет завершена.

В начало

Настройка получения событий PostgreSQL

KUMA позволяет осуществлять мониторинг и проводить аудит событий PostgreSQL на устройствах Linux с помощью rsyslog.

Аудит событий проводится с помощью плагина pgAudit. Плагин поддерживает работу с PostgreSQL версии 9.5 и выше. Подробную информацию о плагине pgAudit см. по ссылке: https://github.com/pgaudit/pgaudit.

Настройка получения событий состоит из следующих этапов:

Установка плагина pdAudit.
Создание коллектора KUMA для событий PostgreSQL.
Для получения событий PostgreSQL с помощью rsyslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] PostgreSQL pgAudit syslog.
Установка коллектора в сетевой инфраструктуре KUMA.
Настройка сервера источника событий.
Проверка поступления событий PostgreSQL в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий PostgreSQL выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Установка плагина pgAudit

Чтобы установить плагин pgAudit:

В командном интерпретаторе выполните команды под учетной записью с правами администратора:
sudo apt update

sudo apt -y install postgresql-<версия базы данных PostgreSQL>-pgaudit

Версию плагина необходимо выбрать в зависимости от версии PostgresSQL. Информацию о версиях PostgreSQL и необходимых версиях плагина см.по ссылке: https://github.com/pgaudit/pgaudit#postgresql-version-compatibility.

Пример:

sudo apt -y install postgresql-12-pgaudit
Найдите конфигурационный файл postgres.conf. Для этого в командной строке PostgresSQL выполните команду:
show data_directory;

В ответе будет указано расположение конфигурационного файла.
Создайте резервную копию конфигурационного файла postgres.conf.
Откройте файл postgres.conf и скопируйте или замените имеющиеся значения на указанные ниже.
```

## pgAudit settings

shared_preload_libraries = 'pgaudit'

## database logging settings

log_destination = 'syslog'

## syslog facility

syslog_facility = 'LOCAL0'

## event ident

syslog_ident = 'Postgres'

## sequence numbers in syslog

syslog_sequence_numbers = on

## split messages in syslog

syslog_split_messages = off

## message encoding

lc_messages = 'en_US.UTF-8'

## min message level for logging

client_min_messages = log

## min error message level for logging

log_min_error_statement = info

## log checkpoints (buffers, restarts)

log_checkpoints = off

## log query duration

log_duration = off

## error description level

log_error_verbosity = default

## user connections logging

log_connections = on

## user disconnections logging

log_disconnections = on

## log prefix format

log_line_prefix = '%m|%a|%d|%p|%r|%i|%u| %e '

## log_statement

log_statement = 'none'

## hostname logging status. dns bane resolving affect

#performance!

log_hostname = off

## logging collector buffer status

#logging_collector = off

## pg audit settings

pgaudit.log_parameter = on

pgaudit.log='ROLE, DDL, MISC, FUNCTION'

```
Перезапустите службу PostgreSQL при помощи команды:
sudo systemctl restart postgresql
Чтобы загрузить плагин pgAudit в PostgreSQL, в командной строке PostgreSQL выполните команду:
CREATE EXTENSION pgaudit;

Плагин pgAudit установлен.

В начало

Настройка Syslog-сервера для отправки событий

Для передачи событий от сервера в KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера, на котором установлена PostgreSQL, в коллектор:

Чтобы проверить, что на сервере источника событий установлен сервис rsyslog, выполните следующую команду под учетной записью с правами администратора:
sudo systemctl status rsyslog.service

Если сервис rsyslog не установлен на сервере, установите его, выполнив следующие команды:

yum install rsyslog

sudo systemctl enable rsyslog.service

sudo systemctl start rsyslog.service
В директории /etc/rsyslog.d/ создайте файл pgsql-to-siem.conf со следующим содержанием:
If $programname contains 'Postgres' then @<IP-адрес коллектора>:<порт коллектора>

Например:

If $programname contains 'Postgres' then @192.168.1.5:1514

Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:
If $programname contains 'Postgres' then @@<IP-адрес коллектора>:<порт коллектора>

Сохраните изменения в конфигурационном файле pgsql-to-siem.conf.
В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:
$IncludeConfig /etc/pgsql-to-siem.conf

$RepeatedMsgReduction off

Сохраните изменения в конфигурационном файле /etc/rsyslog.conf.
Перезапустите сервис rsyslog, выполнив следующую команду:
sudo systemctl restart rsyslog.service

В начало

Настройка получения событий ИВК Кольчуга-К

Вы можете настроить получение событий системы ИВК Кольчуга-К в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка передачи событий ИВК Кольчуга-К в KUMA.
Создание коллектора KUMA для получения событий ИВК Кольчуга-К.
Для получения событий ИВК Кольчуга-К с помощью Syslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Kolchuga-K syslog.
Установка коллектора KUMA для получения событий ИВК Кольчуга-К.
Проверка поступления событий ИВК Кольчуга-К в KUMA.
Вы можете проверить, что настройка источника событий ИВК Кольчуга-К выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка передачи событий ИВК Кольчуга-К в KUMA

Чтобы настроить передачу событий межсетевого экрана ИВК КОЛЬЧУГА-К по syslog в коллектор KUMA:

Подключитесь к межсетевому экрану с правами администратора по протоколу SSH.
Создайте резервную копию файлов /etc/services и /etc/syslog.conf.
В конфигурационном файле /etc/syslog.conf укажите FQDN или IP-адрес коллектора KUMA. Например:
*.* @kuma.example.com

или

*.* @192.168.0.100

Сохраните изменения в конфигурационном файле /etc/syslog.conf.
В конфигурационном файле /etc/services укажите порт и протокол, который используется коллектором KUMA. Например:
syslog 10514/udp

Сохраните изменения в конфигурационном файле /etc/services.
Перезапустите syslog-сервер межсетевого экрана с помощью команды:
service syslogd restart

В начало

Настройка получения событий КриптоПро NGate

Вы можете настроить получение событий программы КриптоПро NGate в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка передачи событий КриптоПро NGate в KUMA.
Создание коллектора KUMA для получения событий КриптоПро NGate.
Для получения событий КриптоПро NGate в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] NGate syslog.
Установка коллектора KUMA для получения событий КриптоПро NGate.
Проверка поступления событий КриптоПро NGate в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий КриптоПро NGate выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка передачи событий КриптоПро NGate в KUMA

Чтобы настроить передачу событий из программы КриптоПро NGate в KUMA:

Подключитесь к веб-интерфейсу системы управления NGate.
Подключите удаленные syslog-серверы к системе управления. Для этого выполните следующие действия:
1. Откройте страницу списка syslog-серверов External Services → Syslog Server → Add Syslog Server.
2. Введите параметры syslog-сервера и нажмите на значок .
Выполните привязку syslog-серверов к конфигурации для записи журналов работы кластера. Для этого выполните следующие действия:
1. В разделе Clusters → Summary выберите настраиваемый кластер.
2. На вкладке Configurations нажмите на элемент Configuration нужного кластера для входа на страницу настроек конфигурации.
3. В поле
  Syslog Servers
  настраиваемой конфигурации нажмите на кнопку
  Assign
  .
4. Установите флажки для syslog-серверов, которые которые вы хотите привязать, и нажмите
  на значок .
  Вы можете привязать неограниченное число серверов.
  
  Чтобы добавить новые syslog-серверы, нажмите на значок .
5. Опубликуйте конфигурацию для активации новых настроек.
Выполните привязку syslog-серверов к системе управления для записи журналов работы Администратора. Для этого выполните следующие действия:
1. Выберите пункт меню Management Center Settings и на открывшейся странице в блоке Syslog servers нажмите на кнопку Assign.
2. В окне Assign Syslog Servers to Management Center установите флажок для тех syslog-серверов, которые вы хотите привязать, затем нажмите на значок .
  Вы можете привязать неограниченное количество серверов.

В результате события программы КриптоПро NGate передаются в KUMA.

В начало

Настройка получения событий Ideco UTM

Вы можете настроить получение событий программы Ideco UTM в KUMA по протоколу Syslog.

Настройка получения событий состоит из следующих этапов:

Настройка передачи событий Ideco UTM в KUMA.
Создание коллектора KUMA для получения событий Ideco UTM.
Для получения событий Ideco UTM в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Ideco UTM syslog.
Установка коллектора KUMA для получения событий Ideco UTM.
Проверка поступления событий Ideco UTM в KUMA.
Вы можете проверить, что настройка сервера источника событий Ideco UTM выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка передачи событий Ideco UTM в KUMA

Чтобы настроить передачу событий из программы Ideco UTM в KUMA:

Подключитесь к веб-интерфейсу Ideco UTM под учётной записью, обладающей административными привилегиями.
В меню Пересылка системных сообщений переведите переключатель Syslog в положение включено.
В параметре IP-адрес укажите IP-адрес коллектора KUMA.
В параметре Порт введите порт, который прослушивает коллектор KUMA.
Нажмите Сохранить для применения внесенных изменений.

Передача событий в Ideco UTM в KUMA будет настроена.

В начало

Настройка получения событий KWTS

Вы можете настроить получение событий из системы анализа и фильтрации веб-трафика Kaspersky Web Traffic Security (KWTS) в KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка передачи событий KWTS в KUMA.
Создание коллектора KUMA для получения событий KWTS.
Для получения событий KWTS в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] KWTS.
Установка коллектора KUMA для получения событий KWTS.
Проверка поступления событий KWTS в коллектор KUMA.
Вы можете проверить, что настройка передачи событий KWTS выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка передачи событий KWTS в KUMA

Чтобы настроить передачу событий KWTS в KUMA:

Подключитесь к серверу KWTS по протоколу SSH под учетной записью root.
Перед внесением изменений создайте резервные копии следующих файлов:
- /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template
- /etc/rsyslog.conf
Убедитесь, что параметры конфигурационного файла /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template имеют следующие значения, при необходимости внесите изменения:
"siemSettings":

{

"enabled": true,

"facility": "Local5",

"logLevel": "Info",

"formatting":

{
Сохраните внесенные изменения.
Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf:
$WorkDirectory /var/lib/rsyslog

$ActionQueueFileName ForwardToSIEM

$ActionQueueMaxDiskSpace 1g

$ActionQueueSaveOnShutdown on

$ActionQueueType LinkedList

$ActionResumeRetryCount -1

local5.* @<<IP-адрес коллектора KUMA>:<порт коллектора>>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local5.* @@<<IP-адрес коллектора KUMA>:<порт коллектора>>
Сохраните внесенные изменения
Перезапустите сервис rsyslog с помощью следующей команды:
sudo systemctl restart rsyslog.service
Перейдите в веб-интерфейс KWTS на вкладку Параметры – Syslog и включите опцию Записывать информацию о профиле трафика.
Нажмите Сохранить.

В начало

Настройка получения событий KLMS

Вы можете настроить получение событий из системы анализа и фильтрации почтового трафика Kaspersky Linux Mail Server (KLMS) в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

В зависимости от используемой версии KLMS, выберите один из вариантов:
- Настройка передачи событий KLMS 8 в KUMA.
- Настройка передачи событий KLMS 10 в KUMA.
Создание коллектора KUMA для получения событий KLMS.
Для получения событий KLMS в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] KLMS syslog CEF.
Установка коллектора KUMA для получения событий KLMS.
Проверка поступления событий KLMS в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий KLMS выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка передачи событий KLMS в KUMA

Чтобы настроить передачу событий KLMS в KUMA:

Подключитесь к серверу KLMS по протоколу SSH и перейдите в меню Technical Support Mode.
С помощью утилиты klms-control выгрузите настройки в файл settings.xml:
sudo /opt/kaspersky/klms/bin/klms-control --get-settings EventLogger -n -f /tmp/settings.xml
Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:
<siemSettings>

<enabled>1</enabled>

<facility>Local1</facility>

...

</siemSettings>
Примените настройки с помощью следующей команды:
sudo /opt/kaspersky/klms/bin/klms-control --set-settings EventLogger -n -f /tmp/settings.xml
Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf.
$WorkDirectory /var/lib/rsyslog

$ActionQueueFileName ForwardToSIEM

$ActionQueueMaxDiskSpace 1g

$ActionQueueSaveOnShutdown on

$ActionQueueType LinkedList

$ActionResumeRetryCount -1

local1.* @<<IP-адрес коллектора KUMA>:<порт коллектора>>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local1.* @@<<IP-адрес коллектора KUMA>:<порт коллектора>>
Сохраните внесенные изменения.
Перезапустите сервис rsyslog с помощью следующей команды:
sudo systemctl restart rsyslog.service

В начало

Настройка получения событий KSMG

Вы можете настроить получение событий из систем анализа и фильтрации почтового трафика Kaspersky Secure Mail Gateway (KSMG) 1.1 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка передачи событий KSMG в KUMA.
Создание коллектора KUMA для получения событий KSMG.
Для получения событий KSMG в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] KSMG.
Установка коллектора KUMA для получения событий KSMG.
Проверка поступления событий KSMG в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий KSMG выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка передачи событий KSMG в KUMA

Чтобы настроить передачу событий KSMG в KUMA:

Подключитесь к серверу KSMG по протоколу SSH под учетной записью с правами администратора.
С помощью утилиты ksmg-control выгрузите настройки в файл settings.xml:
sudo /opt/kaspersky/ksmg/bin/ksmg-control --get-settings EventLogger -n -f /tmp/settings.xml
Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:
<siemSettings>

<enabled>1</enabled>

<facility>Local1</facility>
Примените настройки с помощью следующей команды:
sudo /opt/kaspersky/ksmg/bin/ksmg-control --set-settings EventLogger -n -f /tmp/settings.xml
Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf:
$WorkDirectory /var/lib/rsyslog

$ActionQueueFileName ForwardToSIEM

$ActionQueueMaxDiskSpace 1g

$ActionQueueSaveOnShutdown on

$ActionQueueType LinkedList

$ActionResumeRetryCount -1

local1.* @<<IP-адрес коллектора KUMA>:<порт коллектора>>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local1.* @@<<IP-адрес коллектора KUMA>:<порт коллектора>>
Сохраните внесенные изменения.
Перезапустите сервис rsyslog с помощью следующей команды:
sudo systemctl restart rsyslog.service

В начало

Настройка получения событий KICS for Networks

Вы можете настроить получение событий из программы Kaspersky Industrial CyberSecurity for Networks (KICS for Networks) версии 4.2 в KUMA.

Настройка получения событий состоит из следующих этапов:

Создание коннектора KICS for Networks для передачи событий в KUMA.
Настройка передачи событий KICS for Networks в KUMA.
Создание и установка коллектора KUMA для получения событий KICS for Networks.
Проверка поступления событий KICS for Networks в коллектор KUMA.
Вы можете проверить, что настройка передачи событий KICS for Networks выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

В этом разделе справки

Создание коннектора KICS for Networks для передачи событий в KUMA

Настройка передачи событий KICS for Networks в KUMA

Создание коллектора KUMA для получения событий KICS for Networks

В начало

Создание коннектора KICS for Networks для передачи событий в KUMA

Чтобы создать коннектор для передачи событий в веб-интерфейсе KICS for Networks:

Войдите в веб-интерфейс KICS for Networks под учетной записью администратора.
Перейдите в раздел Параметры → Коннекторы.
Нажмите на кнопку Добавить коннектор.
Укажите следующие параметры:
1. В раскрывающемся списке Тип коннектора выберите значение SIEM.
2. В поле Имя коннектора укажите имя для коннектора.
3. В поле Адрес Сервера введите IP-адрес Сервера KICS for Networks.
4. В раскрывающемся списке Узел размещения коннектора выберите узел, на котором вы устанавливаете коннектор.
  Вы можете указать любое имя.
5. В поле Имя пользователя укажите имя пользователя, под которым KUMA будет подключаться к программе через коннектор. Требуется указать имя одного из пользователей KICS for Networks.
6. В поле Адрес-SIEM сервера введите IP-адрес сервера коллектора KUMA.
7. В поле Номер порта введите номер порта коллектора KUMA.
8. В раскрывающемся списке Транспортный протокол выберите одно из следующих значений: TCP или UDP.
9. Установите флажок Разрешить отправку записей аудита.
10. Установите флажок Разрешить отправку записей программы.
Нажмите на кнопку Сохранить.
Коннектор будет создан. Он отобразится в таблице коннекторов KICS for Networks со статусом Работает.

Коннектор KICS for Networks для передачи событий в KUMA будет готов к работе.

В начало

Настройка передачи событий KICS for Networks в KUMA

Чтобы события безопасности KICS for Networks передавались в KUMA:

Войдите в веб-интерфейс KICS for Networks под учетной записью администратора.
Перейдите в раздел Параметры → Типы событий.
Установите флажки для типов событий, которые вы хотите передавать в KUMA.
Нажмите на кнопку Выбрать коннекторы.
В открывшемся окне выберите коннектор, созданный для передачи событий в KUMA.
Нажмите на кнопку Ok.

Выбранные типы событий будут передаваться в KUMA. В таблице Типы событий эти типы событий отмечаются флажком в столбце с названием коннектора.

В начало

Создание коллектора KUMA для получения событий KICS for Networks

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KICS for Networks.

Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.

При создании коллектора в веб-интерфейсе KUMA вам нужно выполнить следующие требования:

На шаге Транспорт требуется выбрать тип транспортного протокола, соответствующий типу, выбранному при создании коннектора в KICS for Networks на шаге 4i (TCP или UDP), и номер порта, соответствующий номеру порта, указанному на шаге 4h.
На шаге Парсинг событий требуется выбрать нормализатор [OOTB] KICS4Net v3.х.
На шаге Маршрутизация нужно убедиться, что в набор ресурсов коллектора добавлены следующие точки назначения:
- storage – используется для передачи данных в хранилище.
- correlator – используется для передачи данных в коррелятор.
Если точки назначения не добавлены в коллектор, вам нужно создать их.
На последнем шаге мастера в нижней части окна отобразится команда, с помощью которой вы можете установить сервис на сервер, предназначенный для получения событий. Вам нужно скопировать эту команду и использовать при установке второй части коллектора.

В начало

Настройка получения событий PT NAD

Вы можете настроить получение событий из PT NAD в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка передачи событий PT NAD в KUMA.
Создание коллектора KUMA для получения событий PT NAD.
Для получения событий PT NAD с помощью Syslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] PT NAD json.
Установка коллектора KUMA для получения событий PT NAD.
Проверка поступления событий PT NAD в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий PT NAD выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка передачи событий PT NAD в KUMA

Настройка передачи событий из PT NAD 11 в KUMA по Syslog включает следующие этапы:

Настройка модуля ptdpi-worker@notifier.
Настройка отправки syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации.

Настройка модуля ptdpi-worker@notifier

Для включения отправки информации об обнаруженных угрозах информационной безопасности необходимо настроить модуль ptdpi-worker@notifier.

В многосерверной конфигурации инструкцию нужно выполнять на основном сервере.

Чтобы настроить модуль ptdpi-worker@notifier:

Откройте файл /opt/ptsecurity/etc/ptdpi.settings.yaml:
sudo nano /opt/ptsecurity/etc/ptdpi.settings.yaml
В группе параметров General settings раскомментируйте параметр workers и добавьте notifier в список его значений.
Например:

workers: ad alert dns es hosts notifier
Добавьте в конец файла строку вида notifier.yaml.nad_web_url: <URL веб-интерфейса PT NAD>
Например:

notifier.yaml.nad_web_url: https://ptnad.example.com

Модуль ptdpi-worker@notifier будет использовать указанный URL для формирования ссылок на карточки сессий и активностей при отправке сообщений.
Перезапустите сенсор:
sudo ptdpictl restart-all

Модуль ptdpi-worker@notifier настроен.

Настройка syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации

Параметры, перечисленные в следующей инструкции могут отсутствовать в конфигурационном файле. Если параметр отсутствует, вам нужно добавить его в файл самостоятельно.

В многосерверной конфигурации PT NAD настройка выполняется на основном сервере.

Чтобы настроить отправку syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации:

Откройте файл /opt/ptsecurity/etc/ptdpi.settings.yaml:
sudo nano /opt/ptsecurity/etc/ptdpi.settings.yaml
По умолчанию PT NAD отправляет данные об активностях на русском языке. Чтобы получать данные на английском языке, измените значение параметра notifier.yaml.syslog_notifier.locale на «en».
Например:

notifier.yaml.syslog_notifier.locale: en
В параметре notifier.yaml.syslog_notifier.addresses добавьте секцию с параметрами отправки событий в KUMA.
Параметр <Название подключения> может состоять только из букв латинского алфавита, цифр и символа подчеркивания.

В параметре address необходимо указать IP-адрес коллектора KUMA.

Остальные параметры можно не указывать, в таком случае будут использоваться значения по умолчанию.

notifier.yaml.syslog_notifier.addresses:

<Название подключения>:

address: <Для отправки на удаленный сервер — протокол UDP (по умолчанию) или TCP, адрес и порт; для локального подключения — сокет домена Unix>

doc_types: [<Перечисленные через запятую типы сообщений (alert для информации об атаках, detection для активностей и reputation для информации об индикаторах компрометации). По умолчанию отправляются все типы сообщений>]

facility: <Числовое значение категории субъекта>

ident: <Метка ПО>

<Название подключения>:

...

Далее представлен пример настройки отправки syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации, отправляемых на два удаленных сервера по протоколам TCP и UDP без записи в локальный журнал:

notifier.yaml.syslog_notifier.addresses:

remote1:

address: tcp://198.51.100.1:1514

remote2:

address: udp://198.51.100.2:2514
Сохраните изменения в файле /opt/ptsecurity/etc/ptdpi.settings.yaml.
Перезапустите модуль ptdpi-worker@notifier:
sudo ptdpictl restart-worker notifier

Настройка отправки событий в KUMA по Syslog выполнена.

В начало

Настройка получения событий c помощью плагина MariaDB Audit Plugin

KUMA позволяет проводить аудит событий c помощью плагина MariaDB Audit Plugin. Плагин поддерживает работу с MySQL 5.7 и MariaDB. Работа плагина аудита с MySQL 8 не поддерживается. Подробная информация о плагине доступна на официальном веб-сайте MariaDB.

Мы рекомендуем использовать плагин MariaDB Audit Plugin версии 1.2 и выше.

Настройка получения событий состоит из следующих этапов:

Настройка плагина MariaDB Audit Plugin для передачи событий MySQL и настройка Syslog-сервера для отправки событий.
Настройка плагина MariaDB Audit Plugin для передачи событий MariaDB и настройка Syslog-сервера для отправки событий.
Создание коллектора KUMA для событий MySQL 5.7 и MariaDB.
Для получения событий MySQL 5.7 и MariaDB c помощью плагина MariaDB Audit Plugin в мастере установки коллектора KUMA на шаге Парсинг событий в поле Нормализатор выберите [OOTB] MariaDB Audit Plugin syslog.
Установка коллектора в сетевой инфраструктуре KUMA.
Проверка поступления событий MySQL и MariaDB в коллектор KUMA.
Чтобы проверить, что настройка сервера источника событий MySQL и MariaDB выполнена правильно, вы можете осуществить поиск связанных событий.

В этом разделе

Настройка плагина MariaDB Audit Plugin для передачи событий MySQL

Настройка плагина MariaDB Audit Plugin для передачи событий MariaDB

Настройка Syslog-сервера для отправки событий

В начало

Настройка плагина MariaDB Audit Plugin для передачи событий MySQL

Плагин MariaDB Audit Plugin поддерживается для MySQL 5.7 версии до 5.7.30 и поставляется в комплекте с MariaDB.

Чтобы настроить передачу событий MySQL 5.7 с помощью плагина MariaDB Audit Plugin:

Скачайте дистрибутив MariaDB и распакуйте его.
Дистрибутив MariaDB доступен на официальном веб-сайте MariaDB. Операционная система дистрибутива MariaDB должна совпадать с операционной системой, на которой функционирует MySQL 5.7.
Подключитесь к MySQL 5.7 под учетной записью с правами администратора, выполнив команду:
mysql -u <имя пользователя> -p
Чтобы получить директорию, в которой расположены плагины MySQL 5.7, в командной строке MySQL 5.7 выполните команду:
SHOW GLOBAL VARIABLES LIKE 'plugin_dir'
В директории, полученной на шаге 3, скопируйте плагин MariaDB Audit Plugin из директории <директория, куда был разархивирован дистрибутив>/mariadb-server-<версия>/lib/plugins/server_audit.so.
В командном интерпретаторе операционной системы выполните команду:
chmod 755 <директория, куда был разархивирован дистрибутив>server_audit.so

Например:

chmod 755 /usr/lib64/mysql/plugin/server_audit.so
В командном интерпретаторе MySQL 5.7 выполните команду:
install plugin server_audit soname 'server_audit.so'
Создайте резервную копию конфигурационного файла /etc/mysql/mysql.conf.d/mysqld.cnf.
В конфигурационном файле /etc/mysql/mysql.conf.d/mysqld.cnf в разделе [mysqld] добавьте следующие строки:
server_audit_logging=1

server_audit_events=connect,table,query_ddl,query_dml,query_dcl

server_audit_output_type=SYSLOG

server_audit_syslog_facility=LOG_SYSLOG

Если вы хотите отключить передачу событий для определенных групп событий аудита, удалите часть значений параметра server_audit_events. Описание параметров доступно на веб-сайте производителя плагина MariaDB Audit Plugin.
Сохраните изменения в конфигурационном файле.
Перезапустите сервис MariaDB, выполнив одну из следующих команд:
- systemctl restart mysqld — для системы инициализации systemd.
- service mysqld restart — для системы инициализации init.

Настройка плагина MariaDB Audit Plugin для MySQL 5.7 завершена. При необходимости вы можете выполнить следующие команды в командной строке MySQL 5.7:

show plugins — для проверки списка текущих плагинов.
SHOW GLOBAL VARIABLES LIKE 'server_audit%' — для проверки текущих настроек аудита.

В начало

Настройка плагина MariaDB Audit Plugin для передачи событий MariaDB

Плагин MariaDB Audit Plugin входит в состав дистрибутива MariaDB, начиная с версий 5.5.37 и 10.0.10.

Чтобы настроить передачу событий MariaDB с помощью плагина MariaDB Audit Plugin:

Подключитесь к MariaDB под учетной записью с правами администратора, выполнив команду:
mysql -u <имя пользователя> -p
Чтобы проверить, что плагин есть в директории, где размещены плагины операционной системы, в командной строке MariaDB выполните команду:
SHOW GLOBAL VARIABLES LIKE 'plugin_dir'
В командном интерпретаторе операционной системы выполните команду:
ll <директория, полученная в результате выполнения предыдущей команды> | grep server_audit.so

Если вывод команды пуст и плагина нет в директории, вы можете скопировать плагин MariaDB Audit Plugin в эту директорию или использовать более новую версию MariaDB.
В командном интерпретаторе MariaDB выполните команду:
install plugin server_audit soname 'server_audit.so'
Создайте резервную копию конфигурационного файла /etc/mysql/my.cnf.
В конфигурационном файле /etc/mysql/my.cnf в разделе [mysqld] добавьте следующие строки:
server_audit_logging=1

server_audit_events=connect,table,query_ddl,query_dml,query_dcl

server_audit_output_type=SYSLOG

server_audit_syslog_facility=LOG_SYSLOG

Если вы хотите отключить передачу событий для определенных групп событий аудита, удалите часть значений параметра server_audit_events. Описание параметров доступно на веб-сайте производителя плагина MariaDB Audit Plugin.
Сохраните изменения в конфигурационном файле.
Перезапустите сервис MariaDB, выполнив одну из следующих команд:
- systemctl restart mariadb — для системы инициализации systemd.
- service mariadb restart — для системы инициализации init.

Настройка плагина MariaDB Audit Plugin для MariaDB завершена. При необходимости вы можете выполнить следующие команды в командной строке MariaDB:

show plugins — для проверки списка текущих плагинов.
SHOW GLOBAL VARIABLES LIKE 'server_audit%' — для проверки текущих настроек аудита.

В начало

Настройка Syslog-сервера для отправки событий

Для передачи событий от сервера в коллектор используется сервис rsyslog.

Чтобы настроить передачу событий от сервера, на котором установлена MySQL или MariaDB, в коллектор:

Перед внесением изменений создайте резервную копию конфигурационного файла /etc/rsyslog.conf.
Для отправки событий по протоколу UDP добавьте в конфигурационный файл /etc/rsyslog.conf строку:
*.* @<IP-адрес коллектора KUMA>:<порт коллектора KUMA>

Например:

*.* @192.168.1.5:1514

Если вы хотите отправлять события по протоколу TCP, строка должна выглядеть следующим образом:

*.* @@192.168.1.5:2514

Сохраните изменения в конфигурационном файле /etc/rsyslog.conf.
Перезапустите сервис rsyslog, выполнив следующую команду:
sudo systemctl restart rsyslog.service

В начало

Настройка получения событий СУБД Apache Cassandra

KUMA позволяет получать информацию о событиях Apache Cassandra.

Настройка получения событий состоит из следующих этапов:

Настройка журналирования событий Apache Cassandra в KUMA.
Создание коллектора KUMA для событий Apache Cassandra.
Для получения событий Apache Cassandra в мастере установки коллектора KUMA необходимо выполнить следующие действия: на шаге Транспорт выберите коннектор типа file, на шаге Парсинг событий в поле Нормализатор выберите [OOTB] Apache Cassandra file.
Установка коллектора в сетевой инфраструктуре KUMA.
Проверка поступления событий Apache Cassandra в коллектор KUMA.
Чтобы проверить, что настройка сервера источника событий Apache Cassandra выполнена правильно, вы можете осуществить поиск связанных событий.

В начало

Настройка журналирования событий Apache Cassandra в KUMA

Чтобы настроить журналирование событий Apache Cassandra в KUMA:

Убедитесь, что на сервере, где установлена Apache Cassandra, есть 5 ГБ свободного дискового пространства.
Подключитесь к серверу Apache Cassandra под учетной записью с правами администратора.
Перед внесением изменений создайте резервные копии следующих конфигурационных файлов:
- /etc/cassandra/cassandra.yaml
- /etc/cassandra/logback.xml
Убедитесь, что параметры конфигурационного файла /etc/cassandra/cassandra.yaml имеют следующие значения, при необходимости внесите изменения:
1. в секции audit_logging_options присвойте параметру enabled значение true.
2. в секции logger присвойте параметру class_name значение FileAuditLogger.
В конфигурационный файл /etc/cassandra/logback.xml добавьте следующие строки:


<appender name="AUDIT" class="ch.qos.logback.core.rolling.RollingFileAppender">

<file>${cassandra.logdir}/audit/audit.log</file>

<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">



<fileNamePattern>${cassandra.logdir}/audit/audit.log.%d{yyyy-MM-dd}.%i.zip</fileNamePattern>



<maxFileSize>50MB</maxFileSize>

<maxHistory>30</maxHistory>

<totalSizeCap>5GB</totalSizeCap>

</rollingPolicy>

<encoder>

<pattern>%-5level [%thread] %date{ISO8601} %F:%L - %replace(%msg){'\n', ' '}%n</pattern>

</encoder>

</appender>



<logger name="org.apache.cassandra.audit" additivity="false" level="INFO">

<appender-ref ref="AUDIT"/>

</logger>
Сохраните изменения в конфигурационном файле.
Перезапустите службу Apache Cassandra с помощью следующих команд:
1. sudo systemctl stop cassandra.service
2. sudo systemctl start сassandra.service
После перезапуска проверьте статус Apache Cassandra с помощью следующей команды:
sudo systemctl status cassandra.service

Убедитесь, что в выводе команды есть последовательность символов:

Active: active (running)

Настройка передачи событий Apache Cassandra завершена. События будут располагаться в директории /var/log/cassandra/audit/, в файле audit.log (${cassandra.logdir}/audit/audit.log).

В начало

Настройка получения событий FreeIPA

Вы можете настроить получение событий FreeIPA в KUMA по протоколу Syslog.

Настройка получения событий состоит из следующих этапов:

Настройка передачи событий FreeIPA в KUMA.
Создание коллектора KUMA для получения событий FreeIPA.
Для получения событий FreeIPA в мастере установки коллектора KUMA на шаге Парсинг событий в поле Нормализатор выберите [OOTB] FreeIPA.
Установка коллектора KUMA в сетевой инфраструктуре.
Проверка поступления событий FreeIPA в KUMA.
Чтобы проверить, что настройка сервера источника событий FreeIPA выполнена правильно, вы можете осуществить поиск связанных событий.

В начало

Настройка передачи событий FreeIPA в KUMA

Чтобы настроить передачу событий FreeIPA в KUMA по протоколу Syslog в формате JSON:

Подключитесь к серверу FreeIPA по протоколу SSH под учетной записью с правами администратора.
В директории /etc/rsyslog.d/ создайте файл freeipa-to-siem.conf.
В конфигурационный файл /etc/rsyslog.d/freeipa-to-siem.conf добавьте следующие строки:
$ModLoad imfile

input(type="imfile"

File="/var/log/httpd/error_log"

Tag="tag_FreeIPA_log_httpd")

input(type="imfile"

File="/var/log/dirsrv/slapd-*/audit"

Tag="tag_FreeIPA_log_audit"

StartMsg.regex="^time:")

input(type="imfile"

File="/var/log/dirsrv/slapd-*/errors"

Tag="tag_FreeIPA_log_errors")

input(type="imfile"

File="/var/log/dirsrv/slapd-*/access"

Tag="tag_FreeIPA_log_access")

input(type="imfile"

File="/var/log/krb5kdc.log"

Tag="tag_FreeIPA_log_krb5kdc")

template(name="ls_json" type="list" option.json="on") {

constant(value="{")

constant(value="\"@timestamp\":\"") property(name="timegenerated" dateFormat="rfc3339")

constant(value="\",\"@version\":\"1")

constant(value="\",\"message\":\"") property(name="msg")

constant(value="\",\"host\":\"") property(name="fromhost")

constant(value="\",\"host_ip\":\"") property(name="fromhost-ip")

constant(value="\",\"logsource\":\"") property(name="fromhost")

constant(value="\",\"severity_label\":\"") property(name="syslogseverity-text")

constant(value="\",\"severity\":\"") property(name="syslogseverity")

constant(value="\",\"facility_label\":\"") property(name="syslogfacility-text")

constant(value="\",\"facility\":\"") property(name="syslogfacility")

constant(value="\",\"program\":\"") property(name="programname")

constant(value="\",\"pid\":\"") property(name="procid")

constant(value="\",\"syslogtag\":\"") property(name="syslogtag")

constant(value="\"}\n")

}

if $syslogtag contains 'tag_FreeIPA_log' then {

action(type="omfwd"

target="<IP-адрес коллектора KUMA>"

port="<порт коллектора KUMA>"

protocol="<udp или tcp>"

template="ls_json")

stop

}
В конфигурационный файл /etc/rsyslog.conf добавьте следующую строку:
$RepeatedMsgReduction off
Сохраните изменения в конфигурационном файле.
Перезапустите сервис rsyslog, выполнив следующую команду:
sudo systemctl restart rsyslog.service

В начало

Настройка получения событий VipNet TIAS

Вы можете настроить получение событий VipNet TIAS в KUMA по протоколу syslog.

Настройка получения событий состоит из следующих этапов:

Настройка передачи событий VipNet TIAS в KUMA.
Создание коллектора KUMA для получения событий VipNet TIAS.
Для получения событий VipNet TIAS с помощью Syslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Syslog-CEF.
Установка коллектора KUMA для получения событий VipNet TIAS.
Проверка поступления событий VipNet TIAS в KUMA.
Вы можете проверить, что настройка сервера источника событий VipNet TIAS выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка передачи событий VipNet TIAS в KUMA

Чтобы настроить передачу событий VipNet TIAS в KUMA по протоколу syslog:

Подключитесь к веб-интерфейсу VipNet TIAS под учётной записью с правами администратора.
Перейдите в раздел Управление – Интеграции.
На странице Интеграция перейдите на вкладку Syslog.
На панели инструментов списка принимающих серверов нажмите Новый сервер.
В открывшейся карточке нового сервера выполните следующие действия:
1. В поле Адрес сервера укажите IP-адрес или доменное имя коллектора KUMA.
  Например, 10.1.2.3 или syslog.siem.ru
2. В поле Порт укажите входящий порт коллектора KUMA. По умолчанию указан порт 514.
3. В списке Протокол выберите протокол транспортного уровня, который прослушивает коллектор KUMA. По умолчанию выбран протокол UDP.
4. В списке Организация с помощью флажков выберите организации инфраструктуры ViPNet TIAS.
  Сообщения будут отправляться только по инцидентам, обнаруженным на основании событий, полученных от сенсоров выбранных организаций инфраструктуры.
5. В списке Статус с помощью флажков выберите статусы инцидентов.
  Сообщения будут отправляться только при назначении инцидентам выбранных статусов.
6. В списке Уровень важности с помощью флажков выберите уровни важности инцидентов.
  Сообщения будут отправляться только об инцидентах выбранных уровней важности. По умолчанию в списке выбран только высокий уровень важности.
7. В списке Язык интерфейса выберите язык, на котором вы хотите получать информацию об инцидентах в сообщениях. По умолчанию выбран русский язык.
Нажмите кнопку Добавить.
На панели инструментов списка установите переключатель Не передавать информацию об инцидентах в формате CEF в состояние "включено".
В результате при обнаружении новых и изменении статусов ранее выявленных инцидентов, в зависимости от выбранных при настройке статусов, будет выполняться передача соответствующей информации на указанные адреса принимающих серверов по протоколу syslog в формате CEF.
Нажмите Сохранить изменения.

Настройка отправки событий в коллектор KUMA выполнена.

В начало

Настройка получения событий Nextcloud

Вы можете настроить получение событий программы Nextcloud 26.0.4 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка аудита событий Nextcloud.
Настройка Syslog-сервера для отправки событий.
Для передачи событий от сервера в коллектор используется сервис rsyslog.
Создание коллектора KUMA для получения событий Nextcloud.
Для получения событий Nextcloud в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Nextcloud syslog, на шаге Транспорт выберите тип коннектора tcp или udp.
Установка коллектора KUMA для получения событий Nextcloud.
Проверка поступления событий Nextcloud в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий Nextcloud выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка аудита событий Nextcloud

Чтобы настроить передачу событий Nextcloud в KUMA:

На сервере, на котором установлена программа Nextcloud, создайте резервную копию конфигурационного файла /home/localuser/www/nextcloud/config/config.php.
Отредактируйте конфигурационный файл Nextcloud /home/localuser/www/nextcloud/config/config.php.
Измените значения следующих параметров на приведенные ниже:
'log_type' => 'syslog',

'syslog_tag' => 'Nextcloud',

'logfile' => '',

'loglevel' => 0,

'log.condition' => [

'apps' => ['admin_audit'],

],
Перезагрузите сервис Nextcloud с помощью команды:
sudo service restart nextcloud

Настройка отправки событий в коллектор KUMA будет выполнена.

В начало

Настройка Syslog-сервера для отправки событий Nextcloud

Чтобы настроить передачу событий от сервера, на котором установлена программа Nextcloud, в коллектор:

В каталоге /etc/rsyslog.d/ создайте файл Nextcloud-to-siem.conf со следующим содержанием:
If $programname contains 'Nextcloud' then @<IP-адрес коллектора>:<порт коллектора>

Пример:

If $programname contains 'Nextcloud' then @192.168.1.5:1514

Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:

If $programname contains 'Nextcloud' then @@<IP-адрес коллектора>:<порт коллектора>
Сохраните изменения в конфигурационном файле Nextcloud-to-siem.conf .
Создайте резервную копию файла /etc/rsyslog.conf.
В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:
$IncludeConfig /etc/Nextcloud-to-siem.conf

$RepeatedMsgReduction off
Сохраните внесенные изменения.
Перезапустите сервис rsyslog, выполнив следующую команду:
sudo systemctl restart rsyslog.service

Передача событий Nextcloud в коллектор будет настроена.

В начало

Настройка получения событий Snort

Вы можете настроить получение событий программы Snort версии 3 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка журналирования событий Snort.
Создание коллектора KUMA для получения событий Snort.
Для получения событий Snort в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Snort 3 json file, на шаге Транспорт выберите тип коннектора file.
Установка коллектора KUMA для получения событий Snort.
Проверка поступления событий Snort в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий Snort выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка журналирования событий Snort

Убедитесь, что на сервере, на котором запущен Snort, есть минимум 500 МБ свободного дискового пространства для сохранения одного журнала событий Snort.
По достижении объема журнала 500 МБ Snort автоматически создаст новый файл, в имени которого будет указано текущее время в формате unixtime.
Мы рекомендуем отслеживать заполнение дискового пространства.

Чтобы настроить журналирование событий Snort:

Подключитесь к серверу, на котором установлен Snort, под учетной записью, обладающей административными привилегиями.
Измените конфигурационный файл Snort. Для этого в командном интерпретаторе выполните команду:
sudo vi /usr/local/etc/snort/snort.lua
В конфигурационном файле измените содержимое блока alert_json:
alert_json =

{

file = true,

limit = 500,

fields = 'seconds action class b64_data dir dst_addr dst_ap dst_port eth_dst eth_len \

eth_src eth_type gid icmp_code icmp_id icmp_seq icmp_type iface ip_id ip_len msg mpls \

pkt_gen pkt_len pkt_num priority proto rev rule service sid src_addr src_ap src_port \

target tcp_ack tcp_flags tcp_len tcp_seq tcp_win tos ttl udp_len vlan timestamp',

}
Для завершения настройки выполните следующую команду:
sudo /usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -s 65535 -k none -l /var/log/snort -i <название интерфейса, который прослушивает Snort> -m 0x1b

В результате события Snort будут записываться в файл /var/log/snort/alert_json.txt.

В начало

Настройка получения событий Suricata

Вы можете настроить получение событий программы Suricata версии 7.0.1 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка передачи событий Suricata в KUMA.
Создание коллектора KUMA для получения событий Suricata.
Для получения событий Suricata в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Suricata json file, на шаге Транспорт выберите тип коннектора file.
Установка коллектора KUMA для получения событий Suricata.
Проверка поступления событий Suricata в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий Suricata выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка аудита событий Suricata

Чтобы настроить журналирование событий Suricata:

Подключитесь по протоколу SSH к серверу, обладающему административными учётными записями.
Создайте резервную копию файла /etc/suricata/suricata.yaml.
Установите в конфигурационном файле /etc/suricata/suricata.yaml в секции eve-log следующие значения:
- eve-log:

enabled: yes

filetype: regular #regular|syslog|unix_dgram|unix_stream|redis

filename: eve.json
Сохраните изменения в файле конфигурации /etc/suricata/suricata.yaml.

В результате события Suricata будут записываться в файл /usr/local/var/log/suricata/eve.json.

Suricata не поддерживает ограничение размера файла с событиями eve.json. При необходимости вы можете контролировать размер журнала с помощью ротации. Например, для настройки ежечасной ротации журнала добавьте в конфигурационный файл следующие строки:

outputs:

- eve-log:

filename: eve-%Y-%m-%d-%H:%M.json

rotate-interval: hour

В начало

Настройка получения событий FreeRADIUS

Вы можете настроить получение событий программы FreeRADIUS версии 3.0.26 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка аудита событий FreeRADIUS.
Настройка Syslog-сервера для отправки событий FreeRADIUS.
Создание коллектора KUMA для получения событий FreeRADIUS.
Для получения событий FreeRADIUS в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] FreeRADIUS syslog, на шаге Транспорт выберите тип коннектора tcp или udp.
Установка коллектора KUMA для получения событий FreeRADIUS.
Проверка поступления событий FreeRADIUS в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий FreeRADIUS выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка аудита событий FreeRADIUS

Чтобы настроить аудит событий в системе FreeRADIUS:

Подключитесь к серверу, на котором установлена система FreeRADIUS, под учётной записью, обладающей административными привилегиями.
Создайте резервную копию конфигурационного файла FreeRADIUS с помощью команды:
sudo cp /etc/freeradius/3.0/radiusd.conf /etc/freeradius /3.0/radiusd.conf.bak
Откройте конфигурационный файл FreeRADIUS для редактирования с помощью команды:
sudo nano /etc/freeradius/3.0/radiusd.conf
В секции log измените параметры следующим образом:
destination = syslog

syslog_facility = daemon

stripped_names = no

auth = yes

auth_badpass = yes

auth_goodpass = yes
Сохраните конфигурационный файл.

Аудит событий FreeRADIUS будет настроен.

В начало

Настройка Syslog-сервера для отправки событий FreeRADIUS

Для передачи событий от сервера FreeRADIUS в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера, на котором установлен FreeRADIUS, в коллектор:

В каталоге /etc/rsyslog.d/ создайте файл FreeRADIUS-to-siem.conf и добавьте в него следующую строку:
If $programname contains 'radiusd' then @<IP-адрес коллектора>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:

If $programname contains 'radiusd' then @@<IP-адрес коллектора>:<порт коллектора>
Создайте резервную копию файла /etc/rsyslog.conf.
В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:
$IncludeConfig /etc/FreeRADIUS-to-siem.conf

$RepeatedMsgReduction off
Сохраните внесенные изменения.
Перезапустите службу rsyslog, выполнив следующую команду:
sudo systemctl restart rsyslog.service

Передача событий от сервера FreeRADIUS в коллектор KUMA будет настроена.

В начало

Настройка получения событий VMware vCenter

Вы можете настроить получение событий VMware vCenter в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка подключения к VMware vCenter.
Создание коллектора KUMA для получения событий VMware vCenter.
Для получения событий VMWare Vcenter в мастере установки коллектора на шаге Транспорт выберите тип коннектора vmware. Укажите обязательные параметры:
- URL, по которому доступен API VMware, например, https://vmware-server.com:6440.
- Учетные данные VMware – секрет, в котором указаны логин и пароль для подключения к API VMware.
На шаге Парсинг событий выберите нормализатор [OOTB] VMware vCenter API.
Установка коллектора KUMA для получения событий VMWare Vcenter.
Проверка поступления событий VMWare Vcenter в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий VMWare Vcenter выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В этом разделе

Настройка подключения к VMware vCenter

В начало

Настройка подключения к VMware vCenter

Чтобы настроить подключение к VMware Vcenter для получения событий:

Подключитесь к веб-интерфейсу VMware Vcenter под учётной записью, обладающей административными привилегиями.
Перейдите в раздел Security&Users и выберите Users.
Создайте учетную запись пользователя.
Перейдите в раздел Roles и назначьте созданной учетной записи роль Read-only: See details of objects, but not make changes.
Учетные данные этой записи вы будете использовать в секрете коллектора.

Более подробная информация о создании учетных записей представлена в документации системы VMware Vcenter.

Настройка подключения к VMware vCenter для получения событий выполнена.

В начало

Настройка получения событий zVirt

Вы можете настроить получение событий программы zVirt версии 3.1 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка передачи событий zVirt в KUMA.
Создание коллектора KUMA для получения событий zVirt.
Для получения событий zVirt в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] OrionSoft zVirt syslog, на шаге Транспорт выберите тип коннектора tcp или udp.
Установка коллектора KUMA для получения событий zVirt.
Проверка поступления событий zVirt в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий zVirt выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Настройка передачи событий zVirt

Система zVirt может передавать события во внешние системы в режиме установки Hosted Engine.

Чтобы настроить передачу событий из zVirt в KUMA:

В веб-интерфейсе zVirt в разделе Ресурсы выберите Виртуальные машины.
Выделите машину, на которой запущена виртуальная машина HostedEngine, и нажмите Изменить.
В окне Изменить виртуальную машину перейдите в раздел Журналирование
Установите флажок Определить адрес Syslog-сервера.
В поле ввода укажите данные коллектора в следующем формате: <IP-адрес или FQDN коллектора KUMA>: <порт коллектора KUMA>.
Если вы хотите использовать протокол TCP вместо UDP для передачи журналов, установите флажок Использовать TCP-соединение.

Передача событий будет настроена.

В начало

Настройка получения событий Zeek IDS

Вы можете настроить получение событий программы Zeek IDS версии 1.8 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Преобразование формата журнала событий Zeek IDS.
Нормализатор KUMA поддерживает работу с журналами Zeek IDS в формате JSON. Для передачи событий в нормализатор KUMA файлы журналов нужно преобразовать в формат JSON.
Создание коллектора KUMA для получения событий Zeek IDS.
Для получения событий Suricata в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] ZEEK IDS json file, на шаге Транспорт выберите тип коннектора file.
Установка коллектора KUMA для получения событий Zeek IDS.
Проверка поступления событий Zeek IDS в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий Zeek IDS выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало

Преобразование формата журнала событий Zeek IDS

По умолчанию события Zeek IDS записываются в файлы в каталог /opt/zeek/logs/current.

Нормализатор [OOTB] ZEEK IDS json file поддерживает работу с журналами Zeek IDS в формате JSON. Для передачи событий в нормализатор KUMA файлы журналов нужно преобразовать в формат JSON.

Эту процедуру нужно повторять каждый раз перед получением событий Zeek IDS.

Чтобы преобразовать формат журнала событий Zeek IDS:

Подключитесь к серверу, на котором установлена программа Zeek IDS, под учётной записью, обладающей административными привилегиями.
Создайте директорию, где будут храниться журналы событий в формате JSON, с помощью команды:
sudo mkdir /opt/zeek/logs/zeek-json
Перейдите в эту директорию с помощью команды:
sudo cd /opt/zeek/logs/zeek-json
Выполните команду, которая с помощью утилиты jq преобразует исходный формат журнала событий к необходимому:
jq . -c <путь к файлу журнала, формат которого нужно изменить> >> <название нового файла>.log

Пример:

jq . -c /opt/zeek/logs/current/conn.log >> conn.log

В результате выполнения команды в директории /opt/zeek/logs/zeek-json будет создан новый файл, если такого ранее не существовало. Если такой файл уже был в текущей директории, то в конец файла будет добавлена новая информация.

В начало

Настройка получения событий Windows с помощью Kaspersky Endpoint Security для Windows

В KES для Windows, начиная с версии 12.6, есть возможность отправлять события из журналов Windows в коллектор KUMA. Это позволяет получить в KUMA события из журналов Windows (поддерживается ограниченный набор EventID продуктов компании Microsoft) со всех хостов, на которых установлен KES для Windows версии 12.6, без установки агентов KUMA на эти хосты. Чтобы активировать функционал, необходимо:

иметь действующую лицензию KUMA.
использовать KSC 14.2 и выше.
использовать KES для Windows 12.6 или выше.

Настройка получения событий состоит из следующих этапов:

Импорт нормализатора в KUMA.
В KUMA должно быть настроено получение обновлений через серверы обновлений Лаборатории Касперского.

Нажмите Импорт ресурсов и выберите [OOTB] Microsoft Products via KES WIN в списке доступных к установке нормализаторов.
Создание коллектора KUMA для получения событий Windows.
Для получения событий Windows на шаге Транспорт выберите TCP или UDP и укажите номер порта, который будет прослушивать коллектор, на шаге Парсинг событий выберите нормализатор [OOTB] Microsoft Products via KES WIN. На шаге Фильтрация событий выберите фильтр [OOTB] Microsoft Products via KES WIN - Event filter for collector.
Запрос ключа в Службе технической поддержки.
Если в вашей лицензии не было ключа активации функционала оправки журналов Windows в коллектор KUMA, направьте в Службу технической поддержки письмо следующего содержания: «У нас приобретена лицензия KUMA и используется KES для Windows версии 12.6. Мы планируем активировать функционал отправки журналов Windows в коллектор KUMA. Просим предоставить файл ключа для активации соответствующего функционала». Новым пользователям KUMA не требуется писать запрос в Службу технической поддержки, поскольку новым пользователям будет предоставлено 2 ключа с лицензиями для KUMA и для активирования функционала KES для Windows.

В ответ на письмо вам будет предоставлен файл ключа.
Настройка на стороне KSC и KES для Windows.
Файл ключа, активирующий функционал отправки событий Windows в коллекторы KUMA, необходимо импортировать в KSC и распространить по конечным устройствам KES в соответствии с инструкцией. Также необходимо в политике KES добавить адреса серверов KUMA и настроить сетевые параметры подключения.

Проверка поступления событий Windows в коллектор KUMA.

Вы можете проверить, что настройка сервера источника событий Windows выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Перечень передаваемых KES для Windows событий продуктов компании Microsoft приведён в следующей таблице:

Журнал событий	Идентификатор события
DNS Server	150
DNS Server	770
MSExchange Management	1
Security	4781
Security	6416
Security	1100
Security	1102 / 517
Security	1104
Security	1108
Security	4610 / 514
Security	4611
Security	4614 / 518
Security	4616 / 520
Security	4622
Security	4624 / 528 / 540
Security	4625 / 529
Security	4648 / 552
Security	4649
Security	4662
Security	4663
Security	4672 / 576
Security	4696
Security	4697 / 601
Security	4698 / 602
Security	4702
Security	4704 / 608
Security	4706
Security	4713/617
Security	4715
Security	4717 / 621
Security	4719 / 612
Security	4720 / 624
Security	4722 / 626
Security	4723 / 627
Security	4724 / 628
Security	4725 / 629
Security	4726 / 630
Security	4727
Security	4728 / 632
Security	4729 / 633
Security	4732 / 636
Security	4733 / 637
Security	4738 / 642
Security	4739/643
Security	4740 / 644
Security	4741
Security	4742 / 646
Security	4756 / 660
Security	4757 / 661
Security	4765
Security	4766
Security	4767
Security	4768 / 672
Security	4769 / 673
Security	4770
Security	4771 / 675
Security	4775
Security	4776 / 680
Security	4778 / 682
Security	4780 / 684
Security	4794
Security	4798
Security	4817
Security	4876 / 4877
Security	4882
Security	4885
Security	4886
Security	4887
Security	4890
Security	4891
Security	4898
Security	4899
Security	4900
Security	4902
Security	4904
Security	4905
Security	4928
Security	4946
Security	4947
Security	4948
Security	4949
Security	4950
Security	4964
Security	5025
Security	5136
Security	5137
Security	5138
Security	5139
Security	5141
Security	5142
Security	5143
Security	5144
Security	5145
Security	5148
Security	5155
Security	5376
Security	5377
Security	5632
Security	5888
Security	5889
Security	5890
Security	676
System	1
System	104
System	1056
System	12
System	13
System	6011
System	7040
System	7045
System, Source Netlogon	5723
System, Source Netlogon	5805
Terminal-Services-RemoteConnectionManager	1149
Terminal-Services-RemoteConnectionManager	1152
Terminal-Services-RemoteConnectionManager	20523
Terminal-Services-RemoteConnectionManager	258
Terminal-Services-RemoteConnectionManager	261
Windows PowerShell	400
Windows PowerShell	500
Windows PowerShell	501
Windows PowerShell	800
Application, Source ESENT	301
Application, Source ESENT	302
Application, Source ESENT	325
Application, Source ESENT	326
Application, Source ESENT	327
Application, Source ESENT	2001
Application, Source ESENT	2003
Application, Source ESENT	2005
Application, Source ESENT	2006
Application, Source ESENT	216
Application	1000
Application	1002
Application	1 / 2

В начало

Настройка получения событий Codemaster Mirada

Вы можете настроить получение событий Codemaster Mirada в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка аудита системы Codemaster Mirada.
Создание коллектора KUMA для получения событий Codemaster Mirada.
Для получения событий Codemaster Mirada в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Codemaster Mirada syslog, на шаге Транспорт выберите тип коннектора tcp или udp.
Установка коллектора в сетевой инфраструктуре KUMA.
Проверка поступления событий Codemaster Mirada в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий Codemaster Mirada выполнена правильно, в разделе События веб-интерфейса KUMA.

В начало

Настройка аудита системы Codemaster Mirada

Система Codemaster Mirada может отправлять события по протоколу Syslog.

Чтобы настроить аудит событий в системе Codemaster Mirada:

Подключитесь к веб-интерфейсу системы Codemaster Mirada под учетной записью, обладающей административными привилегиями.
Перейдите в раздел Настройки → Syslog.
Включите сервис передачи событий, используя переключатель.
Выберите тип и формат протокола, нажав на кнопку со значком в виде точки, заключенной в круг.
В поле Хост укажите IP-адрес коллектора KUMA.
В поле Протокол укажите транспортный протокол UDP или TCP.
В поле Порт укажите порт, который прослушивает коллектор KUMA.
По умолчанию используется порт 514.
В поле Формат укажите стандарт RFC 3164.
Нажмите на кнопку Сохранить в нижней части веб-интерфейса, чтобы сохранить внесенные изменения.

В начало

Настройка получения событий Postfix

Вы можете настроить получение событий системы Postfix в KUMA. Интеграция возможна только при отправке событий по syslog с использованием протокола TCP. Ресурсы, описанные в этой статье, доступны для KUMA 3.0 и более новых версий.

Настройка получения событий состоит из следующих этапов:

Настройка Postfix для отправки событий.
Настройка коллектора KUMA для получения событий Postfix.
Проверка поступления событий Postfix в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий Postfix выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

Система Postfix формирует события в двух форматах:

Многострочные события, содержащие информацию о сообщениях (с уникальным идентификатором). События имеют следующий вид:
<syslog PRI> время хост имя_процесса: идентификатор: информация из базового события 1

<syslog PRI> время хост имя_процесса: идентификатор: информация из базового события 2
Однострочные, содержащие информацию об ошибках (без идентификатора). События имеют следующий вид:
<syslog PRI> время хост имя_процесса: критичность: основная информация для парсинга

Для обработки событий системы Postfix используется набор ресурсов KUMA, который необходимо применить при создании коллектора:

Нормализатор.
Правило агрегации.
Фильтры для точек назначения.

В процессе работы коллектора многострочные базовые события будут агрегированы на основе идентификатора событий, нормализованы, и одно событие будет направлено в хранилище и коррелятор.

Агрегированное событие примет следующий вид:

Служебная информация из правила агрегации: идентификатор: информация из базового события 1, информация из базового события 2, информация из базового события n

После агрегации полученное событие будет направлено в этот же коллектор, где будет выполняться нормализации агрегированного события.

Алгоритм обработки события системы Postfix

Для обработки события системы Postfix был реализован следующий алгоритм:

Первичная нормализация.
На этом этапе выполняется первичная нормализация базовых событий, которые начинаются с символа "<", поступивших по syslog. События приводятся к формату, пригодному для последующей агрегации: из события выделяется первый символ и размещается в поле FlexString1, идентификатор размещается в поле ExternalID, имя хоста размещается в поле DeviceHostName. Базовая нормализация выполняется в основном нормализаторе.
Проверка на агрегацию.
Выполняется проверка является ли событие агрегированным или нет. В результате проверки к неагрегированным событиям (первый символ не "{" и идентификатор не пустой) применяется правило агрегации, а затемагрегированные события направляются на повторную нормализацию.
Применение правила агрегации.
На этом этапе к событиям применяется правило агрегации, базовые события "склеиваются" и принимают следующий вид:

Служебная информация из правила агрегации: идентификатор: информация из базового события 1, информация из базового события 2, информация из базового события n.
После выполнения агрегации "склеенное" событие направляется обратно в этот же коллектор для выполнения нормализации агрегированного события.
Чтобы замкнуть цикл обработки события, следует указать тот же самый коллектор в качестве точки назначения. На схеме точка назначения названа "Loop", чтобы обозначить цикл обработки события. Вы можете назвать точку назначения произвольным именем.
Нормализация агрегированного события.
Нормализация агрегированного события. начинающегося с символа "{", выполняется в экстранормализаторах Aggregated events, Aggregated events. Message KV parser, Aggregated events. Message regex 1, Aggregated events. Message regex 2.
Отправка в хранилище и коррелятор.
Агрегированные и нормализованные события отправляются в хранилище и коррелятор.

На следующем рисунке представлена схема обработки событий от системы Postfix.

postfix_events_processing

В этом разделе

Настройка Postfix для отправки событий

Настройка коллектора KUMA для получения и обработки событий Postfix

В начало

Настройка Postfix для отправки событий

События аудита системы Postfix по умолчанию направляются в файл /var/log/maillog или /var/log/mail.

Для отправки событий в KUMA:

Создайте резервную копию файла /etc/rsyslog.conf.
Откройте файл /etc/rsyslog.conf в режиме редактирования.
Добавьте в конец файла /etc/rsyslog.conf строку:
mail.* @@<IP-адрес коллектора KUMA>:<порт коллектора KUMA>
Сохраните файл /etc/rsyslog.conf
Перезапустите сервис rsyslog с помощью команды:
sudo systemctl restart rsyslog

В начало

Настройка коллектора KUMA для получения и обработки событий Postfix

Чтобы настроить коллектор KUMA для получения событий Postfix:

Импортируйте пакет [OOTB] Postfix из репозитория KUMA. Пакет доступен для KUMA 3.0 и более новых версий.
Создайте новый коллектор и в мастере установки коллектора настройте следующие параметры:
1. На шаге Транспорт в поле Тип выберите тип tcp, в поле URL укажите FQDN или IP-адрес и порт коллектора.
2. На шаге Парсинг событий нажмите Добавить парсинг событий и в открывшемся окне Основной парсинг событий в раскрывающемся списке Нормализатор выберите нормализатор [OOTB] Postfix syslog.
3. На шаге Агрегация событий нажмите Добавить правило агрегации и в открывшемся окне Агрегация событий в раскрывающемся списке Правило агрегации выберите правило агрегации [OOTB] Postfix. Aggreation rule.
4. На шаге Маршрутизация нажмите Добавить и в открывшемся окне Создание точки назначения последовательно создайте три точки назначения: этот же коллектор с именем "Loop", хранилище и коррелятор.
  1. Создайте точку назначения с именем "Loop" со следующими параметрами.
    - На вкладке Основные параметры в раскрывающемся списке Тип выберите тип транспорта tcp, в поле URL укажите FQDN или IP-адрес и порт коллектора, указанные ранее на шаге 2.1 этой инструкции.
    - На вкладке Дополнительные параметры в раскрывающемся списке Фильтр выберите фильтр Postfix. Filter for event aggregation.
      Настройка этих параметров необходима для отправки агрегированного события в тот же самый коллектор для дальнейшей нормализации.
  2. Создайте точку назначения коррелятора:
  3. На вкладке Основные параметры в раскрывающемся списке Тип выберите correlator и заполните поле URL.
  4. На вкладке Дополнительные параметры в раскрывающемся списке Фильтр выберите фильтр Postfix. Aggregated events to storage and correlator.
  5. Создайте точку назначения хранилища:
  - На вкладке Основные параметры в раскрывающемся списке Тип выберите storage и заполните поле URL.
  - На вкладке Дополнительные параметры в раскрывающемся списке Фильтр выберите фильтр Postfix. Aggregated events to storage and correlator.
    Настройка этих параметров необходима для отправки агрегированного нормализованного события в хранилище и коррелятор.
Нажмите на кнопку Создать.
Сервис коллектора создан с заданными параметрами в веб-интерфейсе KUMA. На экране отобразится команда для установки сервиса на сервере.
Скопируйте команду установки коллектора и выполните команду установки коллектора на нужном сервере.

Коллектор настроен для получения и обработки событий Postfix.

В начало

Настройка получения событий CommuniGate Pro

Вы можете настроить получение событий системы CommuniGate Pro 6.1 в KUMA. Интеграция возможна только при отправке событий по syslog с использованием протокола TCP. Ресурсы, описанные в этой статье, доступны для KUMA 3.0 и более новых версий. Поддерживается обработка событий модуля SIP (события содержат последовательность символов "SIPDATA").

Настройка получения событий состоит из следующих этапов:

Настройка CommuniGate Pro для отправки событий.
Настройка коллектора KUMA для получения событий CommuniGate Pro.
Проверка поступления событий CommuniGate Pro в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий CommuniGate Pro выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

Система CommuniGate Pro формирует событие аудита в виде нескольких отдельных записей, которые выглядят следующим образом:

<код события> временная отметка идентификатор направление: информация из базового события 1

<код события> временная отметка идентификатор направление: информация из базового события 2

<код события> временная отметка идентификатор направление: основная информация n

Для обработки событий системы CommuniGate Pro используется набор ресурсов KUMA, который необходимо применить при создании коллектора:

Нормализатор.
Правило агрегации.
Фильтры для точек назначения.

Агрегированное событие примет следующий вид:

Служебная информация из правила агрегации: идентификатор: информация из базового события 1, информация из базового события 2, информация из базового события n

После агрегации полученное событие будет направлено в этот же коллектор, где будет выполняться нормализация агрегированного события.

Алгоритм обработки события системы CommuniGate Pro

Для обработки события системы CommuniGate Pro был реализован следующий алгоритм:

Первичная нормализация.
На этом этапе выполняется первичная нормализация базовых событий. Первым символом в базовом событии является число. События приводятся к формату, пригодному для последующей агрегации: из события выделяется первый символ и размещается в поле DeviceCustomString1, идентификатор размещается в поле ExternalID, имя хоста размещается в поле DeviceHostName. Базовая нормализация выполняется в основном нормализаторе.
Проверка на агрегацию.
Выполняется проверка, является ли событие агрегированным. В результате проверки к неагрегированным событиям (первый символ события является числом) применяется правило агрегации, а затемагрегированные события направляются на повторную нормализацию. Агрегация выполняется с помощью правила «[OOTB] CommuniGate Pro. Aggregation rule».
Применение правила агрегации.
На этом этапе к событиям применяется правило агрегации, базовые события "склеиваются" и принимают следующий вид:

Служебная информация из правила агрегации: идентификатор: информация из базового события 1, информация из базового события 2, информация из базового события n.

После выполнения агрегации "склеенное" событие направляется обратно в этот же коллектор для выполнения нормализации агрегированного события.

Чтобы замкнуть цикл обработки события, следует указать тот же самый коллектор в качестве точки назначения. На схеме точка назначения названа "Loop", чтобы обозначить цикл обработки события. Вы можете назвать точку назначения произвольным именем.
Нормализация агрегированного события.
Нормализация агрегированного события. начинающегося с символа "{", выполняется в экстранормализаторах Aggregated events, Aggregated events - kv part.
Отправка в хранилище и коррелятор.
Агрегированные и нормализованные события отправляются в хранилище и коррелятор.

На следующем рисунке представлена схема обработки событий от системы CommuniGate Pro.

communigatepro_events_processing_ru

В этом разделе

Настройка CommuniGate Pro для отправки событий

Настройка коллектора KUMA для получения и обработки событий CommuniGate Pro

В начало

Настройка CommuniGate Pro для отправки событий

События аудита системы CommuniGate Pro по умолчанию направляются в директорию /var/CommuniGate/SystemLogs/ в файлы журналов с расширением .log.

Для отправки событий в KUMA необходимо установить на сервер CommuniGate Pro агент KUMA и настроить чтение файлов с расширением .log из директории /var/CommuniGate/SystemLogs/ и отправку по протоколу TCP в коллектор KUMA.

Чтобы создать агент, который будет выполнять чтение и передачу в KUMA событий:

В веб-консоли KUMA перейдите в раздел Ресурсы и сервисы → Агенты и нажмите Добавить.
В открывшемся окне Создание агента на вкладке Основные параметры в поле Название укажите название агента.
На вкладке Подключение №1 заполните следующие поля:
1. В блоке параметров Коннектор на вкладке Основные параметры задайте следующие значения для коннектора:
  1. В поле Название укажите название, например, CommuniGate file.
  2. В раскрывающемся списке Тип выберите значение file.
  3. В поле Путь к файлу укажите значение:
    /var/CommuniGate/SystemLogs/.*.log
2. В блоке параметров Точки назначения на вкладке Основные параметры задайте следующие значения для точки назначения:
  1. В поле Название укажите название, например, CommuniGate TCP collector.
  2. В раскрывающемся списке Тип выберите значение tcp.
  3. В поле URL укажите FQDN или IP-адрес и порт коллектора KUMA.
Нажмите на кнопку Создать.
После того как сервис агента создан в KUMA, следует установить агент на устройствах сетевой инфраструктуры, с которых вы хотите передавать данные в коллектор.

В начало

Настройка коллектора KUMA для получения и обработки событий CommuniGate Pro

Чтобы настроить коллектор KUMA для получения событий CommuniGate Pro:

Импортируйте пакет [OOTB] CommuniGate Pro из репозитория KUMA. Пакет доступен для KUMA 3.0 и более новых версий.
Создайте новый коллектор и в мастере установки коллектора настройте следующие параметры:
1. На шаге Транспорт в поле Тип выберите тип tcp, в поле URL укажите FQDN или IP-адрес и порт коллектора.
2. На шаге Парсинг событий нажмите Добавить парсинг событий и в открывшемся окне Основной парсинг событий в раскрывающемся списке Нормализатор выберите нормализатор [OOTB] CommuniGate Pro.
3. На шаге Агрегация событий нажмите Добавить правило агрегации и в открывшемся окне Агрегация событий в раскрывающемся списке Правило агрегации выберите правило агрегации [OOTB] CommuniGate Pro. Aggreation rule.
4. На шаге Маршрутизация нажмите Добавить и в открывшемся окне Создание точки назначения последовательно создайте три точки назначения: этот же коллектор с именем "Loop", хранилище и коррелятор.
  1. Создайте точку назначения с именем "Loop" со следующими параметрами:
  - На вкладке Основные параметры в раскрывающемся списке Тип выберите тип транспорта tcp, в поле URL укажите FQDN или IP-адрес и порт коллектора, указанные ранее на шаге 2.1 этой инструкции.
  - На вкладке Дополнительные параметры в раскрывающемся списке Фильтр выберите фильтр [OOTB] CommuniGate Pro. Filter for event aggregation.
    Настройка этих параметров необходима для отправки агрегированного события в тот же самый коллектор для дальнейшей нормализации.
  1. Создайте точку назначения коррелятора:
  2. На вкладке Основные параметры в раскрывающемся списке Тип выберите correlator и заполните поле URL.
  3. На вкладке Дополнительные параметры в раскрывающемся списке Фильтр выберите фильтр [OOTB] CommuniGate Pro. Aggregated events to storage and correlator.
  4. Создайте точку назначения хранилища:
  - На вкладке Основные параметры в раскрывающемся списке Тип выберите storage и заполните поле URL.
  - На вкладке Дополнительные параметры в раскрывающемся списке Фильтр выберите фильтр [OOTB] CommuniGate Pro. Aggregated events to storage and correlator.
    Настройка этих параметров необходима для отправки агрегированного нормализованного события в хранилище и коррелятор.
Нажмите на кнопку Создать.
Сервис коллектора создан с заданными параметрами в веб-интерфейсе KUMA. На экране отобразится команда для установки сервиса на сервере.
Скопируйте команду установки коллектора и выполните команду установки коллектора на нужном сервере.

Коллектор настроен для получения и обработки событий CommuniGate Pro.

В начало

Настройка получения событий Yandex Cloud

Вы можете настроить получение событий системы Yandex Cloud в KUMA. Нормализатор поддерживает обработку событий аудита уровня конфигурации, хранящихся в файлах с расширением .json.

Настройка получения событий состоит из следующих этапов:

Настройка аудита событий Yandex Cloud.
Настройка передачи событий Yandex Cloud.
Настройка коллектора KUMA для получения и обработки событий Yandex Cloud.
Для получения событий Yandex Cloud в мастере установки коллектора KUMA необходимо выполнить следующие действия:
1. В мастере установки коллектора KUMA на шаге Транспорт выберите коннектор типа file.
2. В поле URL укажите /var/log/yandex-cloud/<audit_trail_id>/*/*/*/*.json, где <audit_trail_id> - идентификатор аудита.
3. На шаге Парсинг событий в поле Нормализатор выберите [OOTB] Yandex Cloud.
Установка коллектора в сетевой инфраструктуре KUMA.
Проверка поступления событий Yandex Cloud в коллектор KUMA.
Чтобы проверить, что настройка сервера источника событий Yandex Cloud выполнена правильно, вы можете осуществить поиск связанных событий.

В этом разделе

Настройка аудита событий Yandex Cloud

Настройка передачи событий Yandex Cloud

В начало

Настройка аудита событий Yandex Cloud

Настройка передачи событий включает следующие шаги:

Подготовка среды для работы с Yandex Cloud.
Создание бакета для аудитных логов.
Создание ключа шифрования в сервисе Key Management Service.
Включение шифрования бакета.
Создание сервисных аккаунтов.
Создание статического ключа.
Назначение роли сервисным аккаунтам.
Создание аудит трейла.

Подготовка среды для работы с Yandex Cloud

Для выполнения работ по настройке необходим Yandex Cloud CLI, установите и инициализируйте его.

Примечание: по умолчанию аудит будет осуществляться в каталоге Yandex Cloud, указанном в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Для настройки аудита необходим активный платежный аккаунт, поскольку за использование инфраструктуры Yandex Cloud взимается плата.

Чтобы настроить аудит Yandex Cloud, требуется активный платежный аккаунт:

Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог Yandex Cloud, в котором будет работать ваша инфраструктура, на странице облака.

Создание бакета для аудитных логов

Чтобы создать бакет:

В консоли управления перейдите в каталог, в котором хотите создать бакет, например, example-folder.
Выберите сервис Object Storage.
Нажмите Создать бакет.
На странице создания бакета выполните следующие действия:
1. Введите имя бакета в соответствии с правилами именования, например, kumabucket.
2. При необходимости ограничьте максимальный размер бакета. Размер 0 означает отсутствие ограничений и аналогичен включенной опции Без ограничения.
3. Выберите тип доступа Ограниченный.
4. Выберите класс хранилища по умолчанию.
5. Нажмите Создать бакет.

Бакет создан.

Создание ключа шифрования в сервисе Key Management Service

Чтобы создать ключ шифрования:

В консоли управления перейдите в каталог example-folder.
Выберите сервис Key Management Service.
Нажмите Создать ключ и укажите следующие параметры:
- Имя — например, kuma-kms.
- Алгоритм шифрования — AES-256.
- Для остальных параметров оставьте значения по умолчанию.
Нажмите Создать.

Ключ шифрования создан.

Включение шифрования бакета

Чтобы включить шифрование бакета:

В консоли управления перейдите в бакет, созданный ранее.
На панели слева выберите Шифрование.
В поле Ключ KMS выберите ключ kuma-kms.
Нажмите Сохранить.

Шифрование бакета включено.

Создание сервисных аккаунтов

Чтобы создать сервисные аккаунты — отдельный аккаунт для трейла и отдельный аккаунт бакета, выполните следующие шаги:

Создайте сервисный аккаунт sa-kuma:
1. В консоли управления перейдите в каталог example-folder.
2. В верхней части экрана перейдите на вкладку Сервисные аккаунты.
3. Нажмите Создать сервисный аккаунт и введите имя сервисного аккаунта, например sa-kuma, в соответствии с правилами именования:
  - длина — от 3 до 63 символов;
  - может содержать строчные буквы латинского алфавита, цифры и дефисы;
  - первый символ — буква, последний — не дефис.
4. Нажмите Создать.
Создайте сервисный аккаунт sa-kuma-bucket:
1. В консоли управления перейдите в каталог example-folder.
2. В верхней части экрана перейдите на вкладку Сервисные аккаунты.
3. Нажмите Создать сервисный аккаунт и введите имя сервисного аккаунта, например sa-kuma-bucket, в соответствии с правилами именования:
  - длина — от 3 до 63 символов;
  - может содержать строчные буквы латинского алфавита, цифры и дефисы;
  - первый символ — буква, последний — не дефис.
4. Нажмите Создать.

Сервисные аккаунты созданы.

Создание статического ключа

Идентификатор ключа и секретный ключ понадобятся на этапе монтирования бакета. Ключ можно создать с помощью консоли управления или с помощью CLI.

Чтобы создать ключ с помощью консоли управления:

В консоли управления перейдите в каталог example-folder.
В верхней части экрана перейдите на вкладку Сервисные аккаунты.
Выберите сервисный аккаунт sa-kuma-bucket и нажмите на строку с его именем.
На верхней панели нажмите Создать новый ключ.
Выберите Создать статический ключ доступа.
Задайте описание ключа и нажмите Создать.
Сохраните идентификатор и секретный ключ.

Статический ключ доступа создан. После закрытия диалога значение ключа будет недоступно.

Чтобы создать ключ с помощью CLI:

Создайте ключ доступа для сервисного аккаунта sa-kuma-bucket:
yc iam access-key create --service-account-name sa-kuma-bucket

Результат:ls

access_key:

id: aje*******k2u

service_account_id: aje*******usm

created_at: "2022-09-22T14:37:51Z"

key_id: 0n8*******0YQ

secret: JyT*******zMP1
Сохраните идентификатор key_id и секретный ключ secret. Получить значение ключа повторно будет невозможно.

Ключ доступа создан.

Назначение ролей сервисным аккаунтам

Чтобы назначить сервисному аккаунту sa-kuma роли audit-trails.viewer, storage.uploader и kms.keys.encrypterDecrypter:

В CLI назначьте роль audit-trails.viewer на каталог:
yc resource-manager folder add-access-binding \

--role audit-trails.viewer \

--id <идентификатор_каталога> \

--service-account-id <идентификатор_сервисного_аккаунта>

Где:
- --role — назначаемая роль;
- --id — идентификатор каталога example-folder;
- --service-account-id — идентификатор сервисного аккаунта sa-kuma.
Назначьте роль storage.uploader на каталог с бакетом:
yc resource-manager folder add-access-binding \

--role storage.uploader \

--id <идентификатор_каталога> \

--service-account-id <идентификатор_сервисного_аккаунта>

Где:
- --role — назначаемая роль;
- --id — идентификатор каталога example-folder;
- --service-account-id — идентификатор сервисного аккаунта sa-kuma.
Назначьте роль kms.keys.encrypterDecrypter на ключ шифрования kuma-kms:
yc kms symmetric-key add-access-binding \

--role kms.keys.encrypterDecrypter \

--id <идентификатор_ключа> \

--service-account-id <идентификатор_сервисного_аккаунта>

Где:
- --role — назначаемая роль;
- --id — идентификатор KMS-ключа kuma-kms;
- --service-account-id — идентификатор сервисного аккаунта sa-kuma.

Чтобы назначить сервисному аккаунту sa-kuma-bucket роли storage.viewer и kms.keys.encrypterDecrypter:

В CLI назначьте роль storage.viewer на каталог:
yc resource-manager folder add-access-binding \

--id <идентификатор_каталога> \

--role storage.viewer \

--service-account-id <идентификатор_сервисного_аккаунта>

Где:
- --id — идентификатор каталога example-folder;
- --role — назначаемая роль;
- --service-account-id — идентификатор сервисного аккаунта sa-kuma-bucket.
Назначьте роль kms.keys.encrypterDecrypter на ключ шифрования kuma-kms:
yc kms symmetric-key add-access-binding \

--role kms.keys.encrypterDecrypter \

--id <идентификатор_ключа> \

--service-account-id <идентификатор_сервисного_аккаунта>

Где:
- --role — назначаемая роль;
- --id — идентификатор KMS-ключа kuma-kms;
- --service-account-id — идентификатор сервисного аккаунта sa-kuma-bucket.

Создание аудит трейла

Чтобы создать аудит трейл:

В консоли управления перейдите в каталог example-folder.
Выберите сервис Audit Trails.
Нажмите Создать трейл и укажите имя создаваемого трейла, например, kuma-trail.
В блоке Назначение задайте параметры объекта назначения:
- Назначение — Object Storage.
- Бакет — имя бакета, например, kumabucket.
- Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.
  Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.
- Ключ шифрования — укажите ключ шифрования kuma-kms, которым зашифрован бакет.
В блоке Сервисный аккаунт выберите sa-kuma.
В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:
- Сбор событий — выберите Включено.
- Ресурс — выберите Каталог.
- Каталог — не требует заполнения, содержит имя текущего каталога.
В блоке Сбор событий с уровня сервисов в поле Сбор событий выберите Выключено.
Нажмите Создать.

В начало

Настройка передачи событий Yandex Cloud

Бакет необходимо смонтировать на сервере, на котором будет установлен коллектор KUMA.

Чтобы смонтировать бакет:

На сервере создайте директорию для пользователя kuma:
sudo mkdir /home/kuma
На сервере создайте файл со статическим ключом доступа сервисного аккаунта sa-kuma-bucket и предоставьте на него права пользователю kuma::
sudo bash -c 'echo <идентификатор_ключа_доступа>:<секретный_ключ_доступа> > /home/kuma/.passwd-s3fs'

sudo chmod 600 /home/kuma/.passwd-s3fs

sudo chown -R kuma:kuma /home/kuma
Установите пакет s3fs:
sudo apt install s3fs
Создайте каталог, в который будет монтироваться бакет, и предоставьте на него права пользователю kuma :
sudo mkdir /var/log/yandex-cloud/

sudo chown kuma:kuma /var/log/yandex-cloud/
Смонтируйте бакет:
sudo s3fs kumabucket /var/log/yandex-cloud -o passwd_file=/home/kuma/.passwd-s3fs -o url=https://storage.yandexcloud.net -o use_path_request_style -o uid=$(id -u kuma) -o gid=$(id -g kuma)

Вы можете настроить монтирование бакета при запуске операционной системы, для этого добавьте в файл /etc/fstab строку вида:

s3fs#kumabucket /var/log/yandex-cloud fuse _netdev,uid=<kuma_uid>,gid=<kuma_gid>,use_path_request_style,url=https://storage.yandexcloud.net,passwd_file=/home/kuma/.passwd-s3fs 0 0

Где:

<kuma_uid>—идентификатор пользователя ОС kuma.

<kuma_gid>—идентификатор группы пользователей ОС kuma.

Чтобы узнать kuma_uid и kuma_gid, в консоли выполните команду:

id kuma
Проверьте, что бакет смонтирован:
sudo ls /var/log/yandex-cloud/

Если все настроено верно, команда вернет <audit_trail_id>, где <audit_trail_id> — идентификатор трейла аудита.

Настройка передачи событий Yandex Cloud завершена. События будут располагаться в каталогах в файлах с расширением .json:

/var/log/yandex-cloud/{audit_trail_id}/{year}/{month}/{day}/*.json

В начало

Настройка получения событий MongoDB

KUMA позволяет осуществлять мониторинг событий аудита СУБД MongoDB версии 7.0, функционирующих Unix-подобных операционных системах.

Настройка получения событий состоит из следующих этапов:

1. Настройка аудита СУБД MongoDB.

2. Создание коллектора KUMA для событий MongoDB.

Для получения событий аудита MongoDB в мастере установки коллектора на шаге Транспорт выберите тип коннектора tcp или udp, на шаге Парсинг событий выберите нормализатор [OOTB] MongoDb syslog.

3. Установка коллектора в сетевой инфраструктуре KUMA.

4. Настройка Syslog-сервера для отправки событий.

5. Проверка поступления событий MongoDB в коллектор KUMA.

Вы можете проверить, что настройка сервера источника событий MongoDB выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

В этом разделе

Настройка аудита СУБД MongoDB

Настройка Syslog-сервера для передачи событий аудита MongoDB

В начало

Настройка аудита СУБД MongoDB

В следующей инструкции описана настройка аудита событий СУБД MongoDB версии 7.0, предполагающая передачу событий по syslog в формате JSON, и применима только для СУБД, установленных в Unix-подобных операционных системах. Настройка аудита событий может привести к увеличению нагрузки на СУБД. Информация о подсистеме аудита приведена в документации MongoDB по следующей ссылке: https://www.mongodb.com/docs/manual/core/auditing/.

Чтобы настроить аудит событий в MongoDB:

Создайте резервную копию конфигурационного файла СУБД MongoDB /etc/mongod.conf.
Отредактируйте файл /etc/mongod.conf.
Секция "auditLog" в отредактированном файле должна выглядеть следующим образом:

auditLog:

destination: syslog

filter: '{atype: {$in: ["authenticate", "authCheck", "logout", "renameCollection", "dropCollection", "dropDatabase", "createUser", "dropUser", "dropAllUsersFromDatabase", "updateUser","grantRolesToUser", "grantRolesToRole", "revokeRolesFromUser", "revokeRolesFromRole", "createRole", "updateRole", "dropRole", "dropAllRolesFromDatabase", "grantRolesToRole", "revokeRolesFromRole", "grantPrivilegesToRole", "revokePrivilegesFromRole", "replSetReconfig", "enableSharding", "shardCollection", "addShard", "removeShard", "applicationMessage", "shutdown"]}}'

setParameter: { auditAuthorizationSuccess: true }

При редактировании необходимо следить за форматированием yaml-файла.
Сохраните изменения, внесённые в файл /etc/mongod.conf.
Перезапустите службу СУБД MongoDB, выполнив следующую команду:
systemctl restart mongod.service

Настройка аудита СУБД MongoDB выполнена.

В начало

Настройка Syslog-сервера для передачи событий аудита MongoDB

Сервис Rsyslog используется для передачи событий СУБД MongoDB в коллектор KUMA.

Чтобы настроить Syslog-сервер для передачи событий:

Создайте резервную копию конфигурационного файла /etc/rsyslog.conf.
Отредактируйте файл /etc/rsyslog.conf одним из следующих способов:
- Для отправки событий аудита в коллектор KUMA по протоколу UDP добавьте строку:
  user.info @<IP-адрес коллектора KUMA>:<порт коллектора KUMA>
- Для отправки событий в коллектор KUMA по протоколу TCP добавьте строку:
  user.info @@<IP-адрес коллектора KUMA>:<порт коллектора KUMA>
Для параметров syslog severity level и syslog facility level указаны значения по умолчанию для СУБД MongoDB.
Сохраните изменения, внесённые в файл /etc/rsyslog.conf.
Перезапустите службу Rsyslog, выполнив следующую команду:
systemctl restart rsyslog.service

Настройка Syslog-сервера для передачи событий выполнена.

В начало