Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr

Импорт событий Kaspersky Endpoint Detection and Response с устройств с помощью коннектора 'kata/edr' состоит из следующих шагов:

  1. Выполнение конфигурации на стороне KUMA для получения событий.

    Для этого вам нужно создать и установить в KUMA коллектор с коннектором kata/edr или изменить существующий коллектор, а затем сохранить измененные параметры и перезапустить коллектор.

  2. Принятие запроса авторизации KUMA на стороне KEDR для начала отправки событий в KUMA.

В результате интеграция будет настроена и события KEDR будут поступать в KUMA.

Создание коллектора для получения событий из KEDR

Чтобы создать коллектор для получения событий из KEDR:

  1. Войдите в Консоль KUMA. Можно выполнить это одним из следующих способов:
    • В главном меню Консоли Kaspersky SMP перейдите в ПараметрыKUMA.
    • В браузере перейдите по адресу https://kuma.<smp_domain>:7220.
  2. Перейдите в раздел РесурсыКоллекторы выберите Добавить коллектор.
  3. В открывшемся окне Создание коллектора на шаге Подключение источников укажите произвольное Название коллектора и выберите в раскрывающемся списке подходящий тенант.
  4. На шаге 2 Транспортировка выполните следующие действия:
    • На вкладке Основные параметры:
      1. В поле Коннектор выберите Создать или в том же поле начните набирать название коннектора, если хотите использовать уже созданный коннектор.
      2. В раскрывающемся списке Тип коннектора выберите коннектор kata/edr.

        После того, как вы выберите тип коннектора kata/edr, отобразятся дополнительные поля для заполнения.

      3. В поле URL укажите адрес подключения к серверу KEDR в формате <имя устройства или IP-адрес устройства>:<порт подключения, по умолчанию 443>. Если KEDR развернут в кластере, с помощью кнопки Добавить вы можете добавить все узлы. KUMA будет подключаться последовательно к каждому указанному узлу. Если КEDR установлена в распределенной конфигурации, на стороне KUMA необходимо настроить отдельный коллектор для каждого сервера KEDR.
      4. В поле Секрет выберите Создать, чтобы создать новый секрет. В открывшемся окне Создание секрета укажите название секрета и нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения.

        В результате в папку загрузок браузера Загрузки скачивается архив certificate.zip, который содержит файл ключа key.pem и файл сертификата cert.pem. Распакуйте архив.

        В Консоли KUMA нажмите на кнопку Загрузить сертификат и выберите файл cert.pem. Нажмите Загрузить закрытый ключ и выберите key.pem. Нажмите на кнопку Создать. Секрет будет добавлен в раскрывающийся список Секрет, который выбирается автоматически.

        Также можно выбрать созданный секрет из списка Секрет. KUMA использует выбранный секрет для подключения к KEDR.

      5. Поле Внешний ID содержит идентификатор для внешних систем. Этот идентификатор отображается в веб-интерфейсе KEDR при авторизации сервера KUMA. KUMA генерирует идентификатор автоматически и поле Внешний ID будет автоматически предзаполнено.
    • При необходимости укажите параметры на вкладке Дополнительные параметры:
      1. Чтобы получать детализированную информацию в журнале коллектора, переведите переключатель Отладка в активное положение.
      2. В поле Кодировка символов выберите кодировку исходных данных, к которым будет применена конвертация в UTF-8. Мы рекомендуем применять конвертацию только в том случае, если в полях нормализованного события отображаются недопустимые символы. По умолчанию значение не выбрано.
      3. Укажите Максимальное количество событий в одном запросе к KEDR. По умолчанию указано значение 0. Это означает, что применяется значение, настроенное на сервере KEDR по умолчанию (подробности см. в справке KATA). Вы можете указать произвольное значение, не превышающее значение на стороне KEDR. Если указанное вами значение превысит значение параметра Максимальное количество событий, заданное на сервере KEDR, в журнале коллектора KUMA будет ошибка "Bad Request: max_events N is greater than allowed value".
      4. Заполните поле Время ожидания получения событий, чтобы получать события по истечении заданного периода. По умолчанию указано значение 0. Это означает, что применяется значение, настроенное на сервере KEDR по умолчанию (подробности см. в справке KATA).

        Сервер KEDR использует два параметра: максимальное количество событий и время ожидания получения событий. События отправляются, когда накапливается указанное количество событий или по истечении заданного времени, в зависимости от того, что произойдет раньше. Если заданное время истекло, а заданного количества событий не набралось, сервер KEDR передаст те, что есть.

      5. В поле Время ожидания ответа укажите максимальное значение ожидания ответа от сервера KEDR в секундах. Значение по умолчанию: 1800 сек, отображается как 0. В поле Время ожидания ответа указано клиентское ограничение. Значение параметра Время ожидания ответа должно быть больше, чем серверное - Время ожидания получения событий, чтобы не прервать текущую задачу сбора событий новым запросом и дождаться ответа сервера. Если ответ от сервера KEDR все же не поступил, KUMA повторит запрос.
      6. В поле Фильтр KEDRQL укажите условия фильтрации запроса. В результате со стороны KEDR будут поступать уже отфильтрованные события. Подробнее о доступных полях для фильтрации см. в справке KATA.
  5. На шаге 3 Парсинг нажмите Добавить парсинг событий и в открывшемся окне Основной парсинг событий выберите в раскрывающемся списке нормализатор [ООТВ] KEDR telemetry.
  6. Чтобы завершить создание коллектора в веб-интерфейсе, нажмите Сохранить и создать сервис. Затем скопируйте в веб-интерфейсе команду установки коллектора и выполните команду установки в интерпретаторе командной строки на устройстве KUMA, где вы хотите установить коллектор.

    Пример команды для установки коллектора:

    sudo /opt/kaspersky/kuma/kuma collector --core https://<KUMA Core server FQDN>:7210 --id <service ID copied from the KUMA Console> --api.port <port used for communication with the installed component>

    Полное доменное имя Ядра KUMA по умолчанию kuma.<smp_domain>. Порт, который используется для подключения к Ядру KUMA, невозможно изменить. По умолчанию установлен порт 7210.

    Если вы редактировали существующий коллектор, нажмите Сохранить и перезапустить сервисы.

В результате коллектор будет создан и готов к отправке запросов. Коллектор отображается в разделе РесурсыАктивные службы с желтым статусом, пока KEDR не примет запрос на авторизацию от KUMA.

Авторизация KUMA на стороне KEDR

После того, как в KUMA создан коллектор, необходимо на стороне KEDR принять запрос авторизации KUMA, чтобы запросы от KUMA начали поступать в KEDR. После принятой авторизации коллектор KUMA автоматически по расписанию отправляет запрос в KEDR и ждет ответа. Все время ожидания статус коллектора будет желтый, а после получения первого ответа на отправленный запрос статус коллектора сменится на зеленый.

В результате интеграция настроена и вы можете просмотреть поступающие из KEDR события в разделе KUMA → События.

При первом запросе поступит часть исторических событий, которые произошли до момента интеграции. Когда все исторические события поступят, начнут поступать текущие события. Если вы измените значение параметра URL или Внешний ID для существующего коллектора, KEDR примет запрос как новый и после запуска коллектора KUMA с измененными параметрами вы снова получите часть исторических событий. Если вы не хотите получать исторические события, перейдите в настройки нужного коллектора, настройте в нормализаторе сопоставление полей timestamp KEDR и KUMA, и на шаге мастера установки коллектора Фильтрация событий укажите фильтр по timestamp так, чтобы timestamp событий был больше, чем timestamp запуска коллектора.

Возможные ошибки и способы решения

Если в журнале коллектора ошибка "Conflict: An external system with the following ip and certificate digest already exists. Either delete it or provide a new certificate", необходимо создать новый секрет с новым сертификатом в коннекторе коллектора.

Если в журнале коллектора возникает ошибка "Continuation token not found" в ответ на запрос событий, нужно создать новый коннектор, прикрепить его к коллектору и перезапустить коллектор, или создать новый секрет с новым сертификатом в коннекторе коллектора. Если нет необходимости получать события, которые были сформированы до возникновения ошибки, следует настроить в коллекторе фильтр по timestamp.

В начало