Настройка получения событий KICS for Networks

Вы можете настроить получение событий из программы Kaspersky Industrial CyberSecurity for Networks (KICS for Networks) версии 4.2 в KUMA.

Настройка получения событий состоит из следующих этапов:

1. Создание коннектора KICS for Networks для передачи событий в KUMA.
2. Настройка передачи событий KICS for Networks в KUMA.
3. Создание и установка коллектора KUMA для получения событий KICS for Networks.
4. Проверка поступления событий KICS for Networks в коллектор KUMA.

   Вы можете проверить, что настройка передачи событий KICS for Networks выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

Создание коннектора KICS for Networks для передачи событий в KUMA

Чтобы создать коннектор для передачи событий в веб-интерфейсе KICS for Networks:

1. Войдите в веб-интерфейс KICS for Networks под учетной записью администратора.
2. Перейдите в раздел Параметры → Коннекторы.
3. Нажмите на кнопку Добавить коннектор.
4. Укажите следующие параметры:
   1. В раскрывающемся списке Тип коннектора выберите значение SIEM.
   2. В поле Имя коннектора укажите имя для коннектора.
   3. В поле Адрес Сервера введите IP-адрес Сервера KICS for Networks.
   4. В раскрывающемся списке Узел размещения коннектора выберите узел, на котором вы устанавливаете коннектор.

      Вы можете указать любое имя.

   5. В поле Имя пользователя укажите имя пользователя, под которым KUMA будет подключаться к программе через коннектор. Требуется указать имя одного из пользователей KICS for Networks.
   6. В поле Адрес-SIEM сервера введите IP-адрес сервера коллектора KUMA.
   7. В поле Номер порта введите номер порта коллектора KUMA.
   8. В раскрывающемся списке Транспортный протокол выберите одно из следующих значений: TCP или UDP.
   9. Установите флажок Разрешить отправку записей аудита.
   10. Установите флажок Разрешить отправку записей программы.
5. Нажмите на кнопку Сохранить.

   Коннектор будет создан. Он отобразится в таблице коннекторов KICS for Networks со статусом Работает.

Коннектор KICS for Networks для передачи событий в KUMA будет готов к работе.

Настройка передачи событий KICS for Networks в KUMA

Чтобы события безопасности KICS for Networks передавались в KUMA:

1. Войдите в веб-интерфейс KICS for Networks под учетной записью администратора.
2. Перейдите в раздел Параметры → Типы событий.
3. Установите флажки для типов событий, которые вы хотите передавать в KUMA.
4. Нажмите на кнопку Выбрать коннекторы.
5. В открывшемся окне выберите коннектор, созданный для передачи событий в KUMA.
6. Нажмите на кнопку Ok.

Выбранные типы событий будут передаваться в KUMA. В таблице Типы событий эти типы событий отмечаются флажком в столбце с названием коннектора.

Создание коллектора KUMA для получения событий KICS for Networks

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KICS for Networks.

Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.

При создании коллектора в веб-интерфейсе KUMA вам нужно выполнить следующие требования:

1. На шаге Транспорт требуется выбрать тип транспортного протокола, соответствующий типу, выбранному при создании коннектора в KICS for Networks на шаге 4i (TCP или UDP), и номер порта, соответствующий номеру порта, указанному на шаге 4h.
2. На шаге Парсинг событий требуется выбрать нормализатор [OOTB] KICS4Net v3.х.
3. На шаге Маршрутизация нужно убедиться, что в набор ресурсов коллектора добавлены следующие точки назначения:
   • storage – используется для передачи данных в хранилище.
   • correlator – используется для передачи данных в коррелятор.

   Если точки назначения не добавлены в коллектор, вам нужно создать их.

4. На последнем шаге мастера в нижней части окна отобразится команда, с помощью которой вы можете установить сервис на сервер, предназначенный для получения событий. Вам нужно скопировать эту команду и использовать при установке второй части коллектора.