Установка агента KUMA на устройствах Windows

Перед установкой агента KUMA на устройстве Windows убедитесь, что учетная запись, под которой будет запускаться агент KUMA, обладает необходимыми правами.

Права для учетной записи при установке агента KUMA любого типа

Администратору сервера необходимо создать на устройстве Windows учетную запись с правом Log on as a service. Эту учетную запись необходимо использовать для установки агента.

Права для учетной записи при установке агента KUMA типа wec

Администратору сервера необходимо создать на устройстве Windows учетную запись с правами Event Log Readers и Log on as a service. Эту учетную запись необходимо использовать для установки и запуска агента.

Если вы планируете получать события из журнала Security на контроллере домена, предоставьте предустановленной в Windows учетной записи Network Service доступ к журналу Security. Для этого на устройстве контроллера домена в командной строке PowerShell выполните команду:

wevtutil sl security /ca:'O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)'

Если вы не настроите доступ к журналу Security, но в параметрах коннектора wec добавите журнал Security, то поток событий от агента KUMA поступать не будет.

Если вы планируете получать события не с контроллера домена, достаточно добавить предустановленную в Windows учетную запись Network Service в группу Event Log Readers.

Права для учетной записи при установке агента KUMA типа wmi

Администратору сервера необходимо создать на устройстве Windows учетную запись с правами Event Log Readers и Log on as a service. Эту учетную запись необходимо использовать для установки агента.

Для запуска агента под доменной учетной записью необходимы права Event Log Readers и Log on as a service.

Если вы хотите запустить агент под локальной учетной записью, для запуска потребуются права администратора, а также права Event Log Readers и Log on as a service.

Если вы хотите выполнить удаленный сбор событий (сбор событий с устройств, подключенных к устройству, на котором установлен агент KUMA) и только чтение журналов под доменной учетной записью, будет достаточно права Event Log Readers.

Права для учетной записи при установке агента KUMA типа etw

Администратору сервера необходимо создать на устройстве Windows учетную запись с правом Log on as a service. Эту учетную запись необходимо использовать для установки агента.

Для запуска агента учетная запись должна обладать правами администратора или должна быть добавлена в одну из групп безопасности:

• Domain admins
• Performance Log Users

Установка агента KUMA

Чтобы установить агент KUMA на устройство Windows:

1. Скопируйте файл kuma.exe в папку на устройстве Windows. Для установки рекомендуется использовать папку C:\Users\<имя пользователя>\Desktop\KUMA.

   Файл kuma.exe находится внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/.

2. Запустите командную строку на устройстве Windows с правами администратора и найдите папку с файлом kuma.exe.
3. Выполните следующую команду:

   kuma agent --core https://<полное доменное имя сервера ядра KUMA>:<порт, используемый сервером ядра KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса агента, созданного в KUMA> --user <имя пользователя, под которым будет работать агент, включая домен> --install [--accept-eula]

   Для запуска агента вам нужно принять Лицензионное соглашение. Вы можете добавить в команду параметр --accept-eula, чтобы автоматически принять Лицензионное соглашение во время установки агента. В этом случае установка не требует интерактивного взаимодействия. Если вы не укажете этот параметр, вам нужно будет принять или отклонить Лицензионное соглашение самостоятельно во время установки агента KUMA.

   Примеры:

   • Установка агента KUMA без автоматического принятия Лицензионного соглашения:

     kuma agent --core https://kuma.example.com:7210 --id XXXXX --user domain\username --install

   • Установка агента KUMA с автоматическим принятием Лицензионного соглашения:

     kuma agent --core https://kuma.example.com:7210 --id XXXXX --user domain\username --install --accept-eula

   Используя параметр --accept-eula во время установки агента KUMA, вы подтверждаете, что согласны с условиями Лицензионного соглашения и принимаете их.

   Справочная информация об установщике доступна по команде kuma help agent.

4. Если вы запустили установку агента без автоматического принятия Лицензионного соглашения, в процессе установки вам будет предложено ознакомиться с текстом лицензии и у вас будет возможность принять соглашение или отказаться.
5. Если вы выбрали установку с автоматическим принятием Лицензионного соглашения и хотите ознакомиться текстом лицензии или в процессе установки вам не был автоматически предоставлен текст Лицензионного соглашения, выполните следующую команду:

   kuma.exe license --show

   Если вы хотите принять Лицензионное соглашение, выполните следующую команду и нажмите y:

   kuma.exe license

6. Укажите пароль для пользователя, под которым будет работать агент одним из следующих способов:
   • Вручную.
   • Из файла при установке агента.

     Чтобы не вводить пароль вручную, добавьте пароль в файл в формате .TXT и разместите файл в той же директории, что и бинарный файл агента.

     Укажите в команде содержащий пароль файл следующим образом: <имя файла с паролем>.txt. Например, password.txt.

     kuma agent --core https://kuma.example.com:7210 --id XXXXX --user domain\username --install < password.txt

     Все данные из файла password.txt будут перенаправлены в команду в качестве пароля, за исключением символов конца строки (\n\r , \n).

     Путь хранения папки с агентом после установки: C:\ProgramData\Kaspersky Lab\KUMA\agent\${agent_id}.

   Если лицензионное соглашение (EULA) не было принято перед установкой агента с флагом < password.txt, появится ошибка с сообщением, о том что соглашение не принято.

   Варианты принятия EULA:

   1. В файле с паролем можно указать признак принятия EULA. Для этого в файле с паролем должны быть две строки: первая с признаком принятия EULA "y", вторая - с паролем. Например:

      y

      <password>

      Команда установки агента будет выглядеть следующим образом:

      kuma agent --core https://kuma.example.com:7210 --id XXXXX --user domain\username --install < password.txt

      В этом случае при установке агента дополнительно принимать EULA не потребуется.

      Если ранее, до запуска команды с файлом-паролем, была принята EULA, первая строка в файле будет воспринята как пароль и установка завершится ошибкой Access denied.

   2. Можно принять EULA и выполнить тихую установку одновременно, применив флаг --accept-eula.

      Команда установки агента будет выглядеть следующим образом:

      kuma agent --core https://kuma.example.com:7210 --id XXXXX --user domain\username --accept-eula --install < password.txt

      При этом важно, чтобы в файле был указан только пароль первой строкой, иначе возникнет ошибка.

Создана папка C:\ProgramData\Kaspersky Lab\KUMA\agent\<идентификатор агента>, в нее установлен сервис агента KUMA. Агент пересылает события Windows в KUMA: можно настроить коллектор для их приема.

Когда сервис агента установлен, он запускается автоматически. Сервис также настроен на перезапуск в случае сбоев. Агент можно перезапустить из веб-интерфейса KUMA, но только когда сервис активен. В противном случае сервис требуется перезапустить вручную на машине Windows.

Удаление агента KUMA с устройств Windows

При настройке сервисов можно проверить конфигурацию на наличие ошибок до установки, запустив агент с помощью команды:

kuma agent --core https://<полное доменное имя сервера ядра KUMA>:<порт, используемый сервером ядра KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса агента, созданного в KUMA> --user <имя пользователя, под которым будет работать агент, включая домен>

В начало