Настройка получения событий Linux с помощью Kaspersky Endpoint Security для Linux

В Kaspersky Endpoint Security для Linux, начиная с версии 12.2, есть возможность отправлять события из журналов Linux в коллектор KUMA. Это позволяет получить в KUMA события из журналов Linux со всех хостов, на которых установлен Kaspersky Endpoint Security для Linux версии 12.2. Чтобы активировать функционал, необходимо:

• иметь действующую лицензию KUMA.
• использовать Kaspersky Security Center 14.2 и выше.
• использовать Kaspersky Endpoint Security для Linux 12.2 или выше.

Настройка получения событий состоит из следующих этапов:

1. Импорт нормализатора в KUMA.

   В KUMA должно быть настроено получение обновлений через серверы обновлений "Лаборатории Касперского".

   Нажмите Импорт ресурсов и выберите [OOTB] KESL syslog cef в списке доступных к установке нормализаторов.

2. Создание коллектора KUMA для получения событий Linux.

   Для получения событий Linux на шаге Транспорт выберите TCP или UDP и укажите номер порта, который будет прослушивать коллектор. На шаге Парсинг событий выберите нормализатор [OOTB] KESL syslog cef.

3. Запрос ключа в Службе технической поддержки.

   Если в вашей лицензии не было ключа активации функционала отправки журналов Linux в коллектор KUMA, направьте в Службу технической поддержки письмо следующего содержания: "У нас приобретена лицензия KUMA и используется Kaspersky Endpoint Security для Linux версии 12.2. Мы планируем активировать функционал отправки журналов Linux в коллектор KUMA. Просим предоставить файл ключа для активации соответствующего функционала". Новым пользователям KUMA не требуется писать запрос в Службу технической поддержки, поскольку новым пользователям будет предоставлено 2 ключа с лицензиями для KUMA и для активирования функционала Kaspersky Endpoint Security для Linux.

   В ответ на письмо вам будет предоставлен файл ключа.

4. Настройка на стороне Kaspersky Security Center и Kaspersky Endpoint Security для Linux.

   Файл ключа, активирующий функционал отправки событий Linux в коллекторы KUMA, необходимо импортировать в Kaspersky Security Center и распространить по конечным устройствам Kaspersky Security Center в соответствии с инструкцией. Также необходимо в политике Kaspersky Security Center добавить адреса серверов KUMA и настроить сетевые параметры подключения.

5. Проверка поступления событий Linux в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий Linux выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

   Kaspersky Endpoint Security для Linux передает следующие события:

   • ProcessCreate
   • ProcessTerminate
   • FileChange
   • New user account created
   • User account deleted
   • Group created
   • Group deleted
   • New member added to a group
   • Member removed from the group
   • User password changed
   • Linux authentication performed
   • Linux session started
   • Linux session finished
   • Service started
   • Service stopped
   • Promiscuous mode modified
   • Audit configuration changed
   • Account expiration date changed

В начало