[Topic 275686]

Kaspersky Symphony XDR

Kaspersky Symphony XDR – это комплексное решение для кибербезопасности бизнеса, которое включает в себя программы "Лаборатории Касперского", с помощью которых организация получает возможность защититься от большинства киберрисков и покрыть основные сценарии распространения угроз. Компоненты Kaspersky Symphony XDR развернуты на единой платформе управления Kaspersky Single Management Platform. Платформа обеспечивает выполнение кросс-программных сценариев в рамках единого интерфейса и позволяет интегрировать программы "Лаборатории Касперского" и программы сторонних производителей в единую систему безопасности.

Один из центральных элементов решения – SIEM-система – позволяет отслеживать события, полученные от всех компонентов, и выполняет взаимную корреляцию этих событий с помощью готовых и пользовательских правил. На основании журналов и телеметрии, полученных от инфраструктуры организации, Kaspersky Symphony XDR автоматически выявляет атаки и позволяет проводить расследование инцидентов с помощью единого графа расследования, который комбинирует все собираемые в Kaspersky Symphony XDR события – как от программ "Лаборатории Касперского", так и от сторонних ИБ-продуктов.

Для реагирования на сложные инциденты Kaspersky Symphony XDR использует предустановленные и пользовательские сценарии. Также доступны действия по реагированию от программ сторонних производителей и сценарии реагирования, в которых задействовано несколько программ.

В решение включена базовая защита конечных точек, которая позволяет блокировать атаки, направленные на инфраструктуру конечных устройств (как физических, так и виртуальных). Также компоненты Kaspersky Symphony XDR обеспечивают специализированную защиту HTTP-, HTTPS- и FTP-трафика, проходящего через прокси-сервер, защиту почтовых серверов, входящей и исходящей почты от вредоносных объектов, спама и фишинга.

Решение позволяет централизованно устанавливать программы безопасности "Лаборатории Касперского" на устройства инфраструктуры, удаленно запускать задачи проверки и обновления, а также настраивать политики безопасности управляемых программ. В панели мониторинга отображается актуальное состояние системы безопасности, подробные отчеты и детальные параметры политик.

Kaspersky Symphony XDR позволяет компаниям соответствовать требованиям регуляторов (например, в сфере безопасности объектов КИИ) благодаря встроенному модулю ГосСОПКА.

Компоненты решения Kaspersky Symphony XDR

[Topic 5022]

Справка Kaspersky Symphony XDR: Single Management Platform

Новые функции

• Что нового в Kaspersky SMP

Ключевые функции

• Управление алертами и инцидентами безопасности
• Инструменты Поиска угроз
• Граф расследования
• Предопределенные и пользовательские плейбуки
• Ручное реагирование на обнаруженные угрозы
• Панель мониторинга и веб-виджеты

Совместимость и аппаратные и программные требования

• Поддерживаемые операционные системы и требования к оборудованию
• Совместимые программы и решения
• Интеграция с другими решениями и системами сторонних производителей

Начало работы

• Пошаговый сценарий развертывания, активации и первоначальной настройки Kaspersky SMP
• Развертывание Kaspersky SMP
• Перенос данных в Kaspersky SMP
• Использование функций мониторинга, обнаружения и поиска угроз
• Пример расследования инцидента с помощью Kaspersky SMP

Работа с Kaspersky SMP

• Установка программ безопасности "Лаборатории Касперского" на устройства в корпоративной сети
• Удаленный запуск задач поиска вредоносного ПО и обновления
• Управление политиками безопасности управляемых программ

[Topic 271062]

Что нового

Kaspersky SMP 1.1

В Kaspersky SMP реализовано несколько новых функций и улучшений:

• Реализован новый дизайн пользовательского интерфейса.
• Снижены требования к аппаратному и программному обеспечению.
• Повышена стабильность работы программы.
• Реализован мастер развертывания для упрощенной настройки параметров установки.
• Добавлены предустановленные плейбуки.
• Kaspersky SMP теперь поддерживает следующие EPP-программы:
  • Kaspersky Endpoint Security 12.0 для Mac
  • Kaspersky Industrial CyberSecurity for Nodes 3.2
  • Kaspersky Endpoint Agent 3.16
• Реализованы новые веб-виджеты в Панели мониторинга для контроля действий по реагированию с помощью плейбуков.
• Перенос данных из KUMA или Kaspersky Security Center в Kaspersky SMP, включая перенос пользователей и тенантов, а также привязку тенантов к Серверам администрирования Kaspersky Security Center.
• Kaspersky SMP теперь совместим с Kaspersky Anti Targeted Attack Platform 6.0.
• Поддержка модели статусов инцидентов, совместимой с ГОСТ.
• Поддержка совместимости с новой версией swagger-контракта НКЦКИ.
• Термин "обнаружение" заменен на термин "алерт".

[Topic 247185]

О Kaspersky SMP

Kaspersky SMP – это надежное решение для кибербезопасности, которое защищает вашу корпоративную ИТ-инфраструктуру от сложных киберугроз, в том числе тех, которые не могут быть обнаружены EPP-программами, установленными на корпоративных активах. Решение обеспечивает полную видимость, корреляцию и автоматизацию, используя широкий спектр инструментов реагирования и источников данных, включая активы конечных точек, данные сети и облачного окружения. Чтобы эффективно защитить вашу ИТ-инфраструктуру, Kaspersky SMP анализирует данные из этих источников для выявления угроз, создает алерты о потенциальных инцидентах и предоставляет инструменты для реагирования на них. Kaspersky SMP обладает расширенными аналитическими возможностями и богатым опытом в области безопасности.

Это решение обеспечивает единый процесс обнаружения и реагирования с помощью интегрированных компонентов и целостных сценариев в едином интерфейсе для повышения эффективности специалистов по безопасности.

Средства обнаружения включают:

• Инструменты поиска угроз для автоматического поиска угроз и уязвимостей путем анализа событий.
• Расширенное обнаружение угроз и взаимная корреляция: корреляция событий из разных источников в режиме реального времени, более 350 готовых правил корреляции для разных сценариев с матричным отображением MITRE ATT&CK, возможность создавать новые правила и настраивать существующие, ретроспективное сканирование для обнаружения уязвимостей нулевого дня.
• Граф расследования для визуализации и облегчения расследования инцидента и определения первопричин алерта.
• Использование Kaspersky Threat Intelligence Portal для получения последней подробной информации об угрозах, касающейся веб-адресов, доменов, IP-адресов, хешей файлов, статистических и поведенческих данных, и данных WHOIS и данных DNS.

Инструменты действий по реагированию включают:

• Действия по реагированию, выполняемые вручную: изоляция активов, запуск команд, создание правил запрета, запуск задач на активе, пополнение репутации Kaspersky Threat Intelligence Portal и обучающие задания для пользователей.
• Плейбуки как предустановленные, так и созданные пользователем, для автоматизации типичных действий по реагированию.
• Действия по реагированию программ сторонних производителей и сценарии реагирования, в которых задействовано несколько программ.

Kaspersky SMP также использует компонент Kaspersky SMP для управления активами и централизованного выполнения задач по администрированию и обслуживанию:

• Развертывание программ "Лаборатории Касперского" на активах в корпоративной сети.
• Удаленный запуск задач поиска вредоносного ПО и обновления.
• Получение подробной информации о защите активов.
• Настройка всех компонентов безопасности с помощью программ "Лаборатории Касперского".

Kaspersky SMP поддерживает иерархию тенантов.

Kaspersky SMP интегрирован с Active Directory, включает API-интерфейсы и поддерживает широкий спектр интеграций как с программами "Лаборатории Касперского", так и с решениями сторонних производителей для получения данных и реагирования на них. Информацию о программах и решениях, которые поддерживает Kaspersky SMP, см. в разделах Совместимые программы "Лаборатории Касперского" и Интеграция с другими решениями.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN будут недоступны в решении на территории США с 12:00AM по восточному летнему времени (EDT) 10 сентября 2024 года в соответствии с ограничительными мерами.

[Topic 247187]

Аппаратные и программные требования

Развертывание на одном узле: аппаратные требования

Схема с одним узлом поддерживает только до 10 000 устройств в сети.

Для KEDR требуются дополнительные узлы.

Минимальные аппаратные требования

* Требования не учитывают устройства для сервисов KUMA. Подробнее см. в разделе Требования к устройствам с сервисами KUMA.

Распределенное развертывание: аппаратные требования

Схема кластера с несколькими узлами рекомендуется для сетей с количеством устройств более 10 000.

Минимальные аппаратные требования

* Требования не учитывают устройства для сервисов KUMA. Подробнее см. в разделе Требования к устройствам с сервисами KUMA.

** База данных может размещаться как внутри кластера, так и на отдельном устройстве вне кластера.

Kaspersky SMP: программные требования

Требования к программному обеспечению и поддерживаемым системам и платформам

Kaspersky Deployment Toolkit

Все компоненты Kaspersky SMP устанавливаются с помощью Kaspersky Deployment Toolkit.

Kaspersky Deployment Toolkit имеет следующие аппаратные и программные требования:

Компоненты Kaspersky SMP

Чтобы просмотреть аппаратные и программные требования для компонента Kaspersky SMP, нажмите на его название:

• Консоль Kaspersky SMP
• Kaspersky Unified Monitoring and Analysis Platform (далее также KUMA)
• Подчиненные Серверы администрирования Kaspersky Security Center
• Агент администрирования Kaspersky Security Center
• Kaspersky Endpoint Security для Windows
• Kaspersky Anti Targeted Attack Platform (далее также KATA)
• Kaspersky Industrial CyberSecurity for Networks
• Kaspersky Industrial CyberSecurity for Nodes
• Kaspersky CyberTrace
• Kaspersky Threat Intelligence Portal
• Kaspersky Automated Security Awareness Platform (далее также ASAP)

[Topic 265299]

Требования к устройствам с сервисами KUMA

Сервисы KUMA (коллекторы, корреляторы и хранилища) устанавливаются на устройствах, находящихся за пределами кластера Kubernetes. Аппаратные и программные требования для этих устройств описаны в этой статье.

Рекомендованные аппаратные и программные требования

В этом разделе перечислены аппаратные и программные требования для обработки потока данных до 40 000 событий в секунду (EPS). Значение нагрузки KUMA зависит от типа анализируемых событий и эффективности нормализатора.

Для повышения эффективности обработки событий количество ядер процессора важнее тактовой чистоты. Например, 8 ядер процессора со средней тактовой частотой могут обрабатывать события эффективнее, чем 4 ядра процессора с высокой тактовой частотой. В таблице ниже перечислены аппаратные и программные требования компонентов KUMA.

Объем оперативной памяти, используемой коллектором, зависит от настроенных способов обогащения (DNS, учетные записи, активы, обогащение данными из Kaspersky CyberTrace) и от того, используется ли агрегирование. На потребление оперативной памяти влияют параметры окна агрегации данных, количество полей, используемых для агрегации данных, объем данных в агрегируемых полях.

Например, с потоком событий 1000 EPS и отключенным обогащением событий (обогащение событий отключено, агрегация событий отключена, 5000 учетных записей, 5000 активов на одного тенанта) одному коллектору требуются следующие ресурсы:

• 1 процессорное ядро или 1 виртуальный процессор;
• 512 МБ оперативной памяти;
• 1 ГБ дискового пространства (без учета кеша событий).

Например, для 5 коллекторов, которые не выполняют обогащение событий, потребуется выделить следующие ресурсы: 5 процессорных ядер, 2,5 ГБ оперативной памяти и 5 ГБ свободного дискового пространства.

Рекомендуемые аппаратные и программные требования для установки сервисов KUMA

Установка KUMA поддерживается в следующих виртуальных средах:

• VMware 6.5 и выше.
• Hyper-V for Windows Server 2012 R2 и выше.
• QEMU-KVM 4.2 и выше.
• Программный комплекс средств виртуализации "Брест" РДЦП.10001-02.

Рекомендации "Лаборатории Касперского" для серверов хранения

Для серверов хранения данных специалисты "Лаборатории Касперского" рекомендуют следующее:

• Ставьте ClickHouse на твердотельные накопители (SSD). Твердотельные накопители помогают повысить скорость доступа к данным. Жесткие диски можно использовать для хранения данных с помощью технологии HDFS.
• Чтобы подключить систему хранения данных к серверам хранения, используйте высокоскоростные протоколы, такие как Fibre Channel или iSCSI 10G. Не рекомендуется использовать протоколы уровня приложений, например NFS и SMB, для подключения систем хранения данных.
• Используйте файловую систему ext4 на кластерных серверах ClickHouse.
• Если вы используете RAID-массивы, используйте RAID 0 для высокой производительности или RAID 10 для высокой производительности и отказоустойчивости.
• Для обеспечения отказоустойчивости и производительности подсистемы хранения данных, убедитесь, что узлы ClickHouse разворачиваются строго на разных дисковых массивах.
• Если вы используете виртуализированную инфраструктуру для размещения компонентов системы, разворачивайте узлы кластера ClickHouse на разных гипервизорах. В этом случае необходимо запретить двум виртуальным машинам с ClickHouse работать с одним гипервизором.
• Для высоконагруженных установок KUMA установите ClickHouse на физических серверах.

Требования к устройствам для установки агентов

Чтобы данные отправлялись в коллектор KUMA, необходимо установить агенты на устройствах сетевой инфраструктуры. Требования к аппаратному и программному обеспечению перечислены в таблице ниже.

Рекомендуемые аппаратные и программные требования для установки агентов

[Topic 255792]

Требования к Web Console

Сервер Kaspersky SMP

Минимальные аппаратные требования:

• Процессор: 4 ядра, частота от 2,5 ГГц.
• Оперативная память: 8 ГБ.
• Объем свободного места на диске: 40 ГБ (/var/opt/kaspersky).

Одна из следующих операционных систем (только 64-разрядные версии):

• Debian GNU/Linux 10.х (Buster).
• Debian GNU/Linux 11.х (Bullseye).
• Debian GNU/Linux 12 (Bookworm).
• Ubuntu Server 18.04 LTS (Bionic Beaver).
• Ubuntu Server 20.04 LTS (Focal Fossa).
• Ubuntu Server 22.04 LTS (Jammy Jellyfish).
• CentOS Stream 9.
• Red Hat Enterprise Linux Server 7.x.
• Red Hat Enterprise Linux Server 8.x.
• Red Hat Enterprise Linux Server 9.x.
• SUSE Linux Enterprise Server 12 (все пакеты обновлений).
• SUSE Linux Enterprise Server 15 (все пакеты обновлений).
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6).
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7).
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8) 64-разрядная.
• Astra Linux Common Edition (очередное обновление 2.12).
• Альт СП Сервер 10.
• Альт Сервер 10.
• Альт Сервер 9.2.
• Альт 8 СП Сервер (ЛКНВ.11100-01).
• Альт 8 СП Сервер (ЛКНВ.11100-02).
• Альт 8 СП Сервер (ЛКНВ.11100-03).
• Oracle Linux 7.
• Oracle Linux 8.
• Oracle Linux 9.
• РЕД ОС 7.3 Сервер.
• РЕД ОС 7.3 Сертифицированная редакция.
• РОСА "КОБАЛЬТ" 7.9.
• Kernel-based Virtual Machine (все операционные системы Linux, поддерживаемые Сервером Консоли SMP).

Клиентские устройства

Клиентскому устройству для работы с Консолью Kaspersky SMP требуется только браузер.

Требования к аппаратному и программному обеспечению устройства совпадают с требованиями к браузеру, который используется для работы с Консолью Kaspersky SMP.

Браузеры:

• Google Chrome 100.0.4896.88 или более поздняя версия (официальная сборка).
• Microsoft Edge 100 или более поздняя версия.
• Safari 15 для macOS.
• Яндекс Браузер 23.5.0.2271 и выше.
• Mozilla Firefox Extended Support Release 102.0 или выше.

[Topic 255797]

Требования к Агенту администрирования

Минимальные аппаратные требования:

• Процессор с частотой 1 ГГц или выше. При работе с 64-разрядной операционной системой минимальная частота процессора – 1.4 ГГц.
• Оперативная память: 512 МБ.
• Объем свободного места на диске: 1 ГБ.

Требования к программному обеспечению для устройств с операционной системой Linux: должен быть установлен интерпретатор языка Perl версии 5.10 или выше.

Операционные системы, поддерживаемые Агентом администрирования

Для Агента администрирования поддерживается архитектура Apple Silicon (M1), также, как и Intel.

Поддерживаются следующие платформы виртуализации:

• VMware vSphere 6.7.
• VMware vSphere 7.0.
• VMware Workstation 16 Pro.
• Microsoft Hyper-V Server 2012 64-разрядная.
• Microsoft Hyper-V Server 2012 R2 64-разрядная.
• Microsoft Hyper-V Server 2016 64-разрядная.
• Microsoft Hyper-V Server 2019 64-разрядная.
• Microsoft Hyper-V Server 2022 64-разрядная.
• Citrix XenServer 7.1 LTSR.
• Citrix XenServer 8.x.
• Kernel-based Virtual Machine (все операционные системы Linux, поддерживаемые Агентом администрирования).

На устройствах под управлением Windows 10 версии RS4 или RS5 Kaspersky Security Center может не обнаруживать некоторые уязвимости в папках, в которых включен учет регистра.

Перед установкой Агента администрирования на устройства под управлением Windows 7, Windows Server 2008 или Windows Server 2008 R2 убедитесь, что вы установили обновление безопасности KB3063858 для ОС Windows (Обновление безопасности для Windows 7 (KB3063858), Обновление безопасности для Windows 7 для систем на базе x64 (KB3063858), Обновление безопасности для Windows Server 2008 (KB3063858), Обновление безопасности для Windows Server 2008 x64 Edition (KB3063858), Обновление безопасности для Windows Server 2008 R2 x64 Edition (KB3063858).

В Microsoft Windows XP Агент администрирования может не выполнять некоторые операции правильно.

Вы можете установить или обновить Агент администрирования для Windows XP только в Microsoft Windows XP. Поддерживаемые редакции Microsoft Windows XP и соответствующие им версии Агента администрирования указаны в списке поддерживаемых операционных систем. Вы можете скачать необходимую версию Агента администрирования для Microsoft Windows XP с этой страницы.

Рекомендуется устанавливать ту же версию Агента администрирования для Linux, что и Kaspersky SMP.

Kaspersky SMP полностью поддерживает Агент администрирования той же или выше.

Агент администрирования для macOS поставляется вместе с программой безопасности "Лаборатории Касперского" для этой операционной системы.

[Topic 250553]

Совместимые программы и решения

Kaspersky SMP может быть интегрирован со следующими версиями программ и решений:

• Kaspersky Security Center 15 Linux (в качестве подчиненных Серверов администрирования)
• Kaspersky Security Center 14.2 Windows (в качестве подчиненных Серверов администрирования)
• Kaspersky Anti Targeted Attack Platform 5.1
• Kaspersky Anti Targeted Attack Platform 6.0
• Kaspersky Endpoint Security для Windows 12.3 и выше (поддерживает файловые серверы)
• Kaspersky Endpoint Security 12.4 для Windows
• Kaspersky Endpoint Security 12.0 для Mac
• Kaspersky CyberTrace 4.2 (интеграция настраивается только в Консоли KUMA)
• Kaspersky Industrial CyberSecurity for Nodes 3.2 и выше
• Kaspersky Endpoint Agent 3.16
• Kaspersky Industrial CyberSecurity for Networks 4.0 (интеграция настраивается только в Консоли KUMA)
• Kaspersky Secure Mail Gateway 2.0 и выше (интеграция настраивается только в Консоли KUMA)
• Kaspersky Security для Linux Mail Server 10 и выше (интеграция настраивается только в Консоли KUMA)
• Kaspersky Web Traffic Security 6.0 и выше (интеграция настраивается только в Консоли KUMA)
• UserGate 7
• Kaspersky Automated Security Awareness Platform
• Kaspersky Threat Intelligence Portal

Подробнее о версиях программ и решений см. на странице "Жизненный цикл программ".

Список ограничений

Kaspersky SMP поддерживает управление Kaspersky Endpoint Security для Windows со следующими ограничениями:

• Компонент Адаптивный контроль аномалий не поддерживается. Kaspersky SMP не поддерживает правила Адаптивного контроля аномалий.
• Компоненты Kaspersky Sandbox не поддерживаются.
• Функциональность Обновления недоступна.

[Topic 247191]

Архитектура Kaspersky SMP

Этот раздел содержит описание компонентов Kaspersky SMP и их взаимодействия.

Архитектура Kaspersky SMP

Kaspersky SMP включает в себя следующие основные компоненты:

• Kaspersky SMP. Технологическая основа, на которой построен Kaspersky SMP. Kaspersky SMP объединяет все компоненты решения и обеспечивает взаимодействие между компонентами. Kaspersky SMP является масштабируемым и поддерживает интеграцию как с программами "Лаборатории Касперского", так и со сторонними решениями.
• Консоль Kaspersky SMP. Представляет собой веб-интерфейс Kaspersky SMP.
• Консоль KUMA. Представляет собой веб-интерфейс Kaspersky Unified Monitoring and Analysis Platform (KUMA).
• Ядро KUMA. Центральный компонент KUMA. KUMA получает, обрабатывает и хранит события информационной безопасности, а затем анализирует события с помощью правил корреляции. Если в результате анализа срабатывает правило корреляции, KUMA создает алерт и отправляет его в Incident Response Platform.
• Incident Response Platform. Компонент Kaspersky SMP, который позволяет создавать инциденты автоматически или вручную, управлять жизненным циклом алертов и инцидентов, назначать алерты и инциденты аналитикам SOC, а также автоматически или вручную реагировать на инциденты, включая действия по реагированию с помощью плейбуков.
• Сервер администрирования (далее также Сервер). Ключевой компонент защиты конечных точек организации-клиента. Сервер администрирования обеспечивает централизованное развертывание и управление защитой конечных точек с помощью EPP-программ, а также позволяет контролировать состояние защиты конечных точек.
• Источники данных. Аппаратное и программное обеспечение информационной безопасности, которое создает события. После интеграции Kaspersky SMP с необходимыми источниками данных, KUMA получает события для их хранения и анализа.
• Интеграции. Программы "Лаборатории Касперского" и сторонние решения, интегрированные в Kaspersky SMP. С помощью интегрированных решений аналитик SOC может обогащать данные, необходимые для расследования инцидентов и реагирования на них.

[Topic 247196]

Лицензирование

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием Kaspersky SMP.

[Topic 73374]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать приложение.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с приложением.

Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:

• Во время установки Kaspersky SMP.
• Прочитав документ license.txt. Этот документ включен в комплект поставки приложения.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки приложения. Если вы не согласны с условиями Лицензионного соглашения, вам нужно прервать установку приложения и не должны использовать приложение.

[Topic 69295]

О лицензионном ключе

Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать программу в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".

Вы можете добавить лицензионный ключ в приложение одним из следующих способов: применить файл ключа или ввести код активации. Лицензионный ключ отображается в интерфейсе программы в виде уникальной буквенно-цифровой последовательности, после того как вы добавили его в программу.

Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для работы программы требуется добавить другой лицензионный ключ.

Лицензионный ключ может быть активным и дополнительным (резервным).

Активный лицензионный ключ – лицензионный ключ, используемый в текущий момент для работы программы. В качестве активного может быть добавлен лицензионный ключ для пробной или коммерческой лицензии. В программе не может быть больше одного активного лицензионного ключа.

Дополнительный (резервный) лицензионный ключ – лицензионный ключ, подтверждающий право на использование программы, но не используемый в текущий момент. Дополнительный лицензионный ключ автоматически становится активным, когда заканчивается срок действия лицензии, связанной с текущим активным лицензионным ключом. Дополнительный лицензионный ключ может быть добавлен только при наличии активного лицензионного ключа.

Лицензионный ключ для пробной лицензии может быть добавлен только в качестве активного лицензионного ключа. Лицензионный ключ для пробной лицензии не может быть добавлен в качестве дополнительного лицензионного ключа.

[Topic 69430]

О коде активации

Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Вы вводите код активации, чтобы добавить лицензионный ключ, активирующий Kaspersky SMP. Вы получаете код активации по указанному вами адресу электронной почты после приобретения Kaspersky SMP или после заказа пробной версии Kaspersky SMP.

Чтобы активировать приложение с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

Если код активации был потерян после активации приложения, свяжитесь с партнером "Лаборатории Касперского", у которого вы приобрели лицензию.

[Topic 69431]

О файле ключа

Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего программу.

Вы получаете файл ключа по указанному вами адресу электронной почты после приобретения Kaspersky Single Management Platform или после заказа пробной версии Kaspersky Single Management Platform.

Чтобы активировать программу с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно удален, вы можете его восстановить. Файл ключа может потребоваться, например, для регистрации Kaspersky CompanyAccount.

Для восстановления файла ключа вам нужно выполнить одно из следующих действий:

• Обратиться к продавцу лицензии.
• Получить файл ключа на веб-сайте "Лаборатории Касперского" на основе имеющегося кода активации.

[Topic 269808]

Лицензионные ограничения

Приобретая лицензию на Kaspersky SMP, вы определяете количество пользователей, которых хотите защитить. Вы можете превысить лицензионное ограничение не более чем на 5%. Если вы превысите лицензионное ограничение более чем на 5%, дополнительные устройства и дополнительные учетные записи будут добавлены в список Ограниченные активы.

Если лицензионное ограничение превышено, в верхней части Консоли Kaspersky SMP отображается уведомление.

Невозможно запустить действия по реагированию или сценарии для ограниченных активов.

Чтобы просмотреть список ограниченных активов:

1. В главном окне программы перейдите в раздел Параметры → Тенанты.
2. В разделе Тенанты нажмите на корневой тенант.

   Откроется окно свойств корневого тенанта.

3. Выберите вкладку Лицензии.
4. Перейдите по ссылке с количеством ограниченных активов.

Откроется окно Ограниченные активы.

В списке отображается не более 2000 ограниченных активов.

[Topic 265011]

Активация Kaspersky SMP

После установки Kaspersky SMP вам необходимо активировать программу в свойствах Сервера администрирования.

Чтобы активировать Kaspersky SMP:

1. В главном меню нажмите на значок параметров () рядом с именем корневого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Лицензионные ключи.
3. В разделе Действующая лицензия нажмите на кнопку Выбрать.
4. В открывшемся окне выберите лицензионный ключ, который вы хотите использовать для активации Kaspersky SMP. Если лицензионного ключа нет в списке, нажмите на кнопку Добавить лицензионный ключ и укажите новый лицензионный ключ.
5. При необходимости вы также можете добавить
   резервный лицензионный ключ

   

   Лицензионный ключ, подтверждающий право на использование программы, но не используемый в текущий момент. Резервный лицензионный ключ автоматически становится активным, когда заканчивается срок действия лицензии, связанной с текущим активным лицензионным ключом.

   . Для этого в разделе Резервный лицензионный ключ нажмите на кнопку Выбрать и выберите существующий лицензионный ключ или добавьте ключ. Обратите внимание, что вы не можете добавить резервный лицензионный ключ, если нет активного лицензионного ключа.
6. Нажмите на кнопку Сохранить.

[Topic 266610]

Просмотр информации об используемых лицензионных ключах

Чтобы просмотреть информацию об активном и резервном лицензионных ключах:

1. В главном окне программы перейдите в раздел Параметры → Тенанты.
2. В разделе Тенанты нажмите на корневой тенант.

   Откроется окно свойств корневого тенанта.

3. Выберите вкладку Лицензии.

   Отображается информация об активном и резервном лицензионных ключах.

Отображаемый лицензионный ключ применяется ко всем дочерним тенантам корневого тенанта. Указать отдельный лицензионный ключ для дочернего тенанта невозможно. В окне свойств дочерних тенантов нет вкладки Лицензии.

Если лицензионное ограничение ключей превышено, отображается уведомление, а в информации о лицензионном ключе отображается предупреждение.

Вы можете нажать на кнопку Перейти к Серверу администрирования, чтобы управлять лицензионными ключами Kaspersky SMP.

Также можно просмотреть список объектов, используемых по лицензии на вкладке Лицензии. Для этого нажмите на кнопку .

Доступность объекта, используемого по лицензии, зависит от типа приобретенной лицензии. Дополнительную информацию о типах лицензий см. в разделе Лицензирование и возможности Kaspersky SMP.

[Topic 214791]

Продление срока действия лицензии программ "Лаборатории Касперского"

Вы можете продлить срок действия лицензии программ "Лаборатории Касперского", срок действия которой истек или скоро истечет (менее чем через 30 дней).

Чтобы продлить лицензии срок действия истекает или уже истек:

1. Выполните одно из следующих действий:
   • В главном окне программы перейдите в раздел Операции → Лицензирование → Лицензии "Лаборатории Касперского".
   • В главном окне программы перейдите в раздел Мониторинг и отчеты → Панель мониторинга и перейдите по ссылке Просмотреть лицензии, срок действия которых истек рядом с уведомлением.

   Откроется окно Лицензии "Лаборатории Касперского", в котором вы можете просмотреть и продлить срок действия лицензии.

2. Перейдите по ссылке Продлить срок действия лицензии рядом с требуемой лицензией.

   Нажимая на ссылку продления срока действия лицензии, вы соглашаетесь передавать в "Лабораторию Касперского" следующие данные Kaspersky Single Management Platform: версию, локализацию, которую вы используете, идентификатор лицензии на программное обеспечение (то есть идентификатор лицензии, которую вы продлеваете), а также то, приобрели ли вы лицензию через компанию-партнера или нет.

3. В открывшемся окне продления срока действия лицензии следуйте инструкциям.

   Срок действия лицензии продлен.

В Консоли Kaspersky SMP уведомления отображаются при приближении истечения срока действия лицензии по следующему расписанию:

• за 30 дней до истечения срока действия;
• за 7 дней до истечения срока действия;
• за 3 дней до истечения срока действия;
• за 24 часа до истечения срока действия;
• когда срок действия лицензии истек.

[Topic 249153]

О предоставлении данных

Данные, обрабатываемые локально

Kaspersky SMP предназначен для оптимизации выявления угроз, расследования инцидентов, реагирования (в том числе автоматического), а также проактивного поиска угроз в реальном времени.

Kaspersky SMP выполняет следующие основные функции:

• получение, обработка и хранение событий информационной безопасности;
• анализ и корреляция поступающих данных;
• расследование инцидентов и алертов, ручное реагирование;
• автоматическое реагирование с использованием предустановленных и пользовательских плейбуков;
• поиск угроз по событиям в реальном времени.

Для выполнения своих основных функций программа Kaspersky SMP может принимать, хранить и обрабатывать следующую информацию:

• Информация об устройствах, на которые производится установка компонентов Kaspersky SMP:
  • Имя устройства, MAC-адрес, поставщик операционной системы, номер сборки операционной системы, версия ядра ОС, наличие требуемых установленных пакетов, наличие прав для учетной записи, тип средства управления службами, состояние портов. Данная информация собирается Kaspersky Deployment Toolkit при установке.
  • IPv4-адрес. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Имена учетных записей для доступа к устройствам, на которые производится установка компонентов Kaspersky SMP, и SSH ключи. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Имя и пароль учетной записи Kaspersky SMP. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Данные для доступа к СУБД: IP/DNS имя, порт, логин и пароль пользователя. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Файлы инвентаря и лицензии KUMA. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Зона DNS. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Сертификаты безопасного подключения устройств к компонентам Kaspersky SMP. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Модель статусов инцидентов (стандартная или ГОСТ). Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.

  Информация, которую заполняет пользователь в конфигурационном файле Kaspersky Deployment Toolkit и которую собирает Kaspersky Deployment Toolkit при установке, сохраняется в лог установки, который хранится в базе данных Kaspersky Deployment Toolkit. Лог установки первоначальной инфраструктуры сохраняется в файл на машине пользователя. Срок хранения не ограничен, файл будет удален при деинсталляции решения. Имена пользователей и пароли хранятся в зашифрованном виде.

• Информация об учетных записях пользователей: полное имя и адрес электронной почты. Данная информация вводится пользователем в Консоли Kaspersky SMP и KUMA. Данные хранятся в базе данных неограниченное время, пока пользователь их не удалит.
• Информация о тенантах: название тенанта, название родительского тенанта, описание. Данная информация вводится пользователем в Консоли Kaspersky SMP и KUMA. Данные хранятся в базе данных неограниченное время, пока пользователь их не удалит.
• Данные об алертах и инцидентах:
  • Данные об алертах: сработавшие правила, соответствие матрице MITRЕ, статус алерта, резолюция, назначенный оператор, затронутые активы (устройства и учетные записи), наблюдаемые объекты (IP, MD5, SHA256, URL, DNS-домен или DNS-имя, имя пользователя, имя хоста), признак наличия устройств КИИ в алерте, комментарии и журнал изменений. Данная информация формируется в Консоли Kaspersky SMP автоматически на основании корреляционных событий из Kaspersky Unified Monitoring and Analysis Platform.
  • Данные об инцидентах: связанные алерты, сработавшие правила, соответствие матрице MITRЕ, статус инцидента, резолюция, затронутые активы (устройства и аккаунты), наблюдаемый объект (из алерта), признак наличия устройств КИИ в инциденте, комментарии и журнал изменений. Данная информация формируется в Консоли Kaspersky SMP автоматически по правилам или вручную пользователем.
  • Данные об инцидентах НКЦКИ: сведения об атакованном ресурсе и о вредоносной системе, информацию из ГосСОПКА по экспортированному инциденту (уникальный идентификатор карточки уведомления в НКЦКИ, регистрационный номер уведомления, дата и время регистрации инцидента в ГосСОПКА, дата последнего обновления инцидента в ГосСОПКА) и журнал изменений. Данная информация формируется автоматически на основании инцидентов XDR для передачи в ГосСОПКА.
  • Данные о настройке правил формирования инцидентов из алертов: имя и условия срабатывания правила, шаблон имени нового инцидента, описание правила и приоритет запуска правила. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Данные о шаблонах уведомлений: имя шаблона, тема сообщения, шаблон текста сообщения, описание шаблона и правила детектирования, при срабатывании которых будут отправляться уведомления. Данная информация вводится пользователем в Консоли Kaspersky SMP.

  Перечисленные выше данные об алертах и инцидентах хранятся в базе данных неограниченное время, пока пользователь не удалит их.

• Данные о плейбуках:
  • Операционные данные плейбука, в том числе данные о входных параметрах действий по реагированию: название, описание, теги, текст триггера и алгоритма. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Данные о результатах выполнения действий по реагированию в рамках исполнения плейбука: содержит данные из интегрированных систем, данные с устройств.
  • Полная история реагирований по всем алертам и инцидентам.

  Перечисленные выше данные о плейбуках хранятся в базе данных в течение трех дней, после чего удаляются. Данные полностью удаляются при деинсталляции Kaspersky SMP.

• Данные о настройках интеграции (как с программами и службами "Лаборатории Касперского", так и со сторонними решениями, которые участвуют в сценариях Kaspersky SMP):
  • Интеграция с Kaspersky Threat Intelligence Portal: API-токен доступа для подключения к Kaspersky Threat Intelligence Portal, срок хранения кеша, признак подключения через прокси, тип сервиса. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Интеграция с НКЦКИ: URL-адрес, API-токен доступа для подключении к ГосСОПКА, наименование компании, сфера деятельности компании, сведения о местонахождении или географическом местоположении информационного ресурса или объекта, признак подключения через прокси. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Интеграция с КАТА/EDR: адрес сервера KATA/EDR: IP адрес/имя устройства, порт, уникальный идентификатор для подключения к KATA/EDR, файл сертификата и закрытый ключ для подключения к КАТА/EDR. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Подключение к устройству, где будет запускаться пользовательский скрипт: IP адрес/имя устройства, порт, логин пользователя и SSH ключ, пароль/ключ. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Интеграция с Сервером администрирования Kaspersky SMP: имя Сервера администрирования, полный путь до Сервера администрирования в иерархии. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Интеграция с Kaspersky Cyber Trace: IPv4/Hostname и порт, по которому доступен Kaspersky Cyber Trace, имя и пароль для подключения. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с Kaspersky Automated Security Awareness Platform (KASAP): API токен доступа при подключении к KASAP, URL портала KASAP, Email Администратора KASAP, признак подключения через прокси. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с Active Directory: адреса контроллеров домена, логин и пароль для подключения к контроллерам домена, сертификат. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с внешней системой (например UserGate): данные для подключения к удаленному клиентскому устройству: логин пользователя и SSH ключ, пароль/ключ.

  Перечисленные выше данные о настройках интеграции хранятся в базе данных неограниченное время, пока пользователь не удалит их. Данные полностью удаляются при деинсталляции программы.

Подробную информацию о прочих данных, принимаемых, хранимых и обрабатываемых для выполнения основных функций решения Kaspersky SMP, см. в справке программ:

• Kaspersky Security Center 15 Linux
• Kaspersky Unified Monitoring and Analysis Platform

Все перечисленные выше данные могут быть переданы в "Лабораторию Касперского" только посредством файлов дампа, файлов трассировки или файлов журналов компонентов Kaspersky SMP, включая файлы журналов, создаваемые инсталляторами и утилитами. Файлы дампов, файлы трассировки или файлы журналов компонентов Kaspersky SMP могут содержать персональные или конфиденциальные данные. Файлы дампов, файлы трассировки или файлы журналов хранятся в открытой форме на устройствах. Файлы дампов, файлы трассировки или файлы журналов не передаются в "Лабораторию Касперского" автоматически, но администратор может передать эти файлы в "Лаборатории Касперского" вручную по запросу Службы технической поддержки для решения проблем в работе Kaspersky SMP. "Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи. Срок хранения данной информации (период ротации) составляет, по умолчанию, 7 дней.

Данные, передаваемые в "Лабораторию Касперского"

Переходя по ссылкам из Консоли Kaspersky SMP к справке Kaspersky SMP, пользователь соглашается на автоматическую передачу в "Лабораторию Касперского" следующих данных: код Kaspersky SMP, версия Kaspersky SMP, локализация Kaspersky SMP.

Для назначения обучающего курса сотруднику Kaspersky SMP передает в Kaspersky Automated Security Awareness Platform (KASAP) следующие данные: email пользователя, ID пользователя в KASAP, ID группы обучения.

Для получения дополнительных данных по алертам Kaspersky SMP передает в Threat Intelligence Portal следующую информацию: тип и значение наблюдаемых объектов из алертов, инцидентов, событий информационной безопасности.

Данные, передаваемые третьим сторонам

Для получения информации о тактике/технике MITRE при переходе по ссылке из карточки алерта/инцидента, Kaspersky SMP передает на сайт MITRE информацию о тактике/технике: ID и тип.

Для представления информации по инциденту НКЦКИ (Национальный координационный центр по компьютерным инцидентам) в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) Kaspersky SMP передает следующие данные:

• Краткое описание инцидента, категория инцидента, тип инцидента. Дата и время выявления компьютерного инцидента (признака инцидента), начала компьютерной атаки или выявления уязвимости (признака уязвимости), дата и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
• Наименование главной организации, в которой произошел инцидент. Наименование подчиненной организации, в которой произошел инцидент.
• Ограничительный маркер на распространение сведений из карточки компьютерной атаки, статус реагирования на инцидент.
• Название информационного ресурса, целевая функция или сфера деятельности, в которой функционирует информационный ресурс. Наличие одной из категорий у объекта КИИ или ее отсутствие. Сведения о месте нахождения или географического местоположения информационного ресурса или объекта КИИ. Город, в котором расположен объект КИИ, на котором произошел инцидент, атака или обнаружена уязвимость.
• Наименование уязвимой программы, версия уязвимой программы.
• Необходимость привлечения сил ГосСОПКА, сведения о средстве или способе выявления инцидента, наличие подключения к сети Интернет.
• Влияние на доступность, влияние на целостность, влияние на конфиденциальность. Описание иной формы последствий компьютерного инцидента или компьютерной атаки.
• IPv4-адрес и IPv6-адрес контролируемого ресурса, доменное имя контролируемого ресурса, URI-адрес контролируемого ресурса, Email-адрес контролируемого ресурса.
• Имя атакованной сетевой службы, порт/протокол сетевой службы.
• Тип активности, хеш-сумма вредоносного модуля, описание используемых уязвимостей, идентификатор уязвимости.
• IPv4-адрес и IPv6-адрес вредоносной системы, доменное имя вредоносной системы, URI-адрес вредоносной системы, Email-адрес вредоносной системы.
• AS-Path до атакованной Автономной системы (ASN), номер подставной Автономной системы (ASN), наименование LIR, наименование AS.
• Утечка ПДн, наименование оператора ПДн, ИНН оператора ПДн, адрес оператора ПДн, адрес электронной почты для отправки информации об уведомлении. Предполагаемые причины, повлекшие нарушение прав субъектов ПД. Предполагаемый вред, нанесенный правам субъектов ПД. Характеристики персональных данных, принятые меры по устранению последствий инцидента, информация о результатах внутреннего расследования инцидента, дополнительные сведения.

Для реагирования через внешние системы (например, UserGate) с помощью запуска сторонних скриптов на удаленных клиентских устройствах Kaspersky SMP передает во внешние системы следующую информацию: тип и значение наблюдаемых объектов из алертов, инцидентов.

[Topic 265008]

Предоставление данных в Kaspersky SMP

Данные, обрабатываемые локально

Программа Kaspersky SMP предназначена для централизованного решения основных задач по управлению и обслуживанию системы защиты сети организации. Kaspersky SMP предоставляет администратору доступ к подробной информации об уровне безопасности сети организации и позволяет настраивать все компоненты защиты, построенной на основе программ "Лаборатории Касперского". Kaspersky SMP выполняет следующие основные функции:

• обнаружение устройств и их пользователей в сети организации;
• формирование иерархии групп администрирования для управления устройствами;
• установка программ "Лаборатории Касперского" на устройства;
• управление параметрами работы и задачами установленных программ;
• активация программ "Лаборатории Касперского" на устройствах;
• управление учетными записями пользователей;
• просмотр информации о работе программ "Лаборатории Касперского" на устройствах;
• просмотр отчетов.

Для выполнения своих основных функций программа Kaspersky SMP может принимать, хранить и обрабатывать следующую информацию:

• Информация об устройствах в сети организации получена путем опроса контроллеров домена Active Directory или Samba или путем опроса IP-диапазонов. Сервер администрирования самостоятельно получает данные или передает Агенту администрирования.
• Информация из Active Directory и Samba об организационных подразделениях, доменах, пользователях и группах. Сервер администрирования самостоятельно получает данные, или их передает ему Агент администрирования, который выполняет роль точки распространения.
• Данные об управляемых устройствах. Агент администрирования передает от устройства Серверу администрирования перечисленные ниже данные. Пользователь вводит отображаемое имя и описание устройства в интерфейсе Консоли Kaspersky SMP:
  • Технические характеристики управляемого устройства и его компонентов, необходимые для идентификации устройства: отображаемое имя и описание устройства, имя и тип (для устройств, принадлежащих Windows-домену), имя устройства в среде (для устройств, принадлежащих Windows-домену), DNS-домен и DNS-имя, IPv4-адрес, IPv6-адрес, сетевое местоположение, MAC-адрес, тип операционной системы, является ли устройство виртуальной машиной и тип гипервизора, является ли устройство динамической виртуальной машиной как частью VDI.
  • Прочие характеристики управляемых устройств и их компонентов, необходимые для аудита управляемых устройств: архитектура операционной системы, поставщик операционной системы, номер сборки операционной системы, идентификатор выпуска операционной системы, папка расположения операционной системы, если устройство является виртуальной машиной, то тип виртуальной машины, имя виртуального Сервера администрирования, под управлением которого находится устройство.
  • Подробные данные о действиях на управляемых устройствах: дата и время последнего обновления, время, когда устройство последний раз было видимо в сети, состояние ожидания перезапуска, время включения устройства.
  • Данные об учетных записях пользователей устройств и их сеансах работы.
• Данные, полученные при запуске удаленной диагностики на управляемом устройстве: файлы трассировки, системная информация, сведения об установленных на устройстве программах "Лаборатории Касперского", файлы дампов, журналы событий, результаты запуска диагностических скриптов, полученные от Службы технической поддержки "Лаборатории Касперского".
• Статистику работы точки распространения, если устройство является точкой распространения. Агент администрирования передает данные от устройства на Сервер администрирования.
• Параметры точки распространения, которые Пользователь вводит в Консоли Kaspersky SMP.
• Данные о программах "Лаборатории Касперского", установленных на устройстве. Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования:
  • Параметры программ "Лаборатории Касперского", установленных на управляемом устройстве: название и версия программы "Лаборатории Касперского", статус, состояние постоянной защиты, дата и время последней проверки устройства, количество обнаруженных угроз, количество объектов, для которых не удалось выполнить лечение, наличие и статус компонентов программы, данные о параметрах и задачах программы "Лаборатории Касперского", информация об активном и резервных лицензионных ключах, дата и идентификатор установки программы.
  • Статистика работы программы: события, связанные с изменениями статуса компонентов программы "Лаборатории Касперского" на управляемом устройстве и с выполнением задач, инициированных программными компонентами.
  • Состояние устройства, определенное программой "Лаборатории Касперского".
  • Теги, передаваемые программой "Лаборатории Касперского".
• Данные, содержащиеся в событиях от компонентов Kaspersky SMP и управляемых программ "Лаборатории Касперского". Агент администрирования передает данные от устройства на Сервер администрирования.
• Настройки компонентов Kaspersky SMP и управляемых программ "Лаборатории Касперского", представленные в виде политик и профилей политик. Данная информация вводится пользователем в интерфейсе Консоли Kaspersky SMP.
• Настройки задач компонентов Kaspersky SMP и управляемых программ "Лаборатории Касперского". Данная информация вводится пользователем в интерфейсе Консоли Kaspersky SMP.
• Данные, обрабатываемые функцией Системное администрирование. Агент администрирования передает с устройства на Сервер администрирования следующую информацию:
  • Информация об оборудовании, обнаруженном на управляемых устройствах (Реестр оборудования).
  • Данные о программах, установленных на управляемых устройствах (Реестр программ). Программы могут быть сопоставлены с информацией об исполняемых файлах, обнаруженных на управляемых устройствах функцией Контроль программ.
• Пользовательские категории программ. Данная информация вводится пользователем в интерфейсе Консоли Kaspersky SMP.
• Данные об исполняемых файлах, обнаруженных на управляемых устройствах функцией Контроль программ. Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующей программы.
• Информация о шифровании устройств с операционной системой Windows и статусах шифрования. Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования.
• Информация об ошибках шифрования данных на устройствах с операционной системой Windows, выполняемого функцией Шифрование данных программ "Лаборатории Касперского". Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующей программы.
• Данные о файлах, помещенных в резервное хранилище. Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующей программы.
• Данные о файлах, помещенных в Карантин. Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующей программы.
• Данные о файлах, запрошенных специалистами "Лаборатории Касперского" для подробного анализа. Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующей программы.
• Данные о внешних устройствах (устройствах памяти, инструментах передачи информации, инструментах превращения информации в твердую копию, шинах подключения), установленных или подключенных к управляемому устройству и обнаруженных функцией Контроль устройств. Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующей программы.
• Информация о зашифрованных устройствах и статусе шифрования. Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования.
• Информация об ошибках шифрования данных на устройствах. Шифрование выполняется функцией Шифрование данных программ "Лаборатории Касперского". Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в онлайн-справке соответствующей программы.
• Список управляемых программируемых логических контроллеров (ПЛК). Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующей программы.
• Данные для создания цепочки развития угроз. Управляемая программа передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующей программы.
• Данные о введенных кодах активации или файлах ключей. Пользователь вводит данные в интерфейсе Консоли администрирования или Консоли Kaspersky SMP.
• Учетные записи пользователей: имя, описание, полное имя, адрес электронной почты, основной телефон, пароль. Данная информация вводится пользователем в интерфейсе Консоли Kaspersky SMP.
• Истории ревизий объектов управления. Данная информация вводится пользователем в интерфейсе Консоли Kaspersky SMP.
• Реестр удаленных объектов управления. Данная информация вводится пользователем в интерфейсе Консоли Kaspersky SMP.
• Инсталляционные пакеты, созданные из файла, и параметры установки. Данная информация вводится пользователем в интерфейсе Консоли Kaspersky SMP.
• Данные, необходимые для отображения объявлений от "Лаборатории Касперского" в Консоли Kaspersky SMP. Данная информация вводится пользователем в интерфейсе Консоли Kaspersky SMP.
• Данные, необходимые для работы плагинов управляемых программ в Консоли Kaspersky SMP и сохраняемые плагинами в базе данных Сервера администрирования в процессе повседневной работы. Описание и способы предоставления данных приведены в файлах справки соответствующей программы.
• Настройки пользователя в Консоли Kaspersky SMP: язык локализации и тема пользовательского интерфейса, настройки отображения панели мониторинга, информации о состоянии нотификаций (прочитано/не прочитано), состояние столбцов в таблицах (скрыть/показать), прогресс прохождения режима обучения. Данная информация вводится пользователем в интерфейсе Консоли Kaspersky SMP.
• Сертификат безопасного подключения управляемых устройств к компонентам Kaspersky SMP. Данная информация вводится пользователем в интерфейсе Консоли Kaspersky SMP.
• Информация о принятии пользователем условий юридических соглашений с "Лабораторией Касперского".
• Данные Сервера администрирования, которые Пользователь вводит в интерфейсе Консоли Kaspersky SMP или в программном интерфейсе Kaspersky Security Center OpenAPI.
• Любые данные, которые Пользователь вводит в интерфейсе Консоли Kaspersky SMP.

Перечисленные выше данные могут попасть в Kaspersky SMP следующими способами:

• Данная информация вводится пользователем в интерфейсе Консоли Kaspersky SMP.
• Агент администрирования самостоятельно получает данные с устройства и передает на Сервер администрирования.
• Агент администрирования получает собранные управляемой программой "Лаборатории Касперского" данные и передает на Сервер администрирования. Перечни данных, обрабатываемых управляемыми программами "Лаборатории Касперского", приведены в справках соответствующих программ.
• Сервер администрирования самостоятельно получает данные о сетевых устройствах, или их передает ему Агент администрирования, который выполняет роль точки распространения.

Перечисленные данные хранятся в базе данных Сервера администрирования. Имена пользователей и пароли хранятся в зашифрованном виде.

Все перечисленные выше данные могут быть переданы "Лаборатории Касперского" только посредством файлов дампа, файлов трассировки или файлов журналов компонентов Kaspersky SMP, включая файлы журналов, создаваемые инсталляторами и утилитами.

Файлы дампов, файлы трассировки или файлы журналов компонентов Kaspersky SMP содержат произвольные данные Сервера администрирования, Агента администрирования и Консоли Kaspersky SMP. Эти файлы могут содержать персональные или прочие конфиденциальные данные. Файлы дампов, файлы трассировки или файлы журналов событий хранятся в незашифрованной форме на устройствах. Файлы дампов, файлы трассировки или файлы журналов не передаются в "Лабораторию Касперского" автоматически, однако, администратор может передать эти файлы в "Лаборатории Касперского" вручную по запросу Службы технической поддержки для решения проблем в работе Kaspersky SMP.

"Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи.

Переходя по ссылкам в Консоли администрирования или в Консоли Kaspersky SMP, Пользователь соглашается на автоматическую передачу следующих данных:

• Код Kaspersky SMP.
• Версия Kaspersky SMP.
• Локализация Kaspersky SMP.
• Идентификатор лицензии.
• Тип лицензии.
• Признак покупки лицензии через партнера.

Список данных, предоставляемых по каждой ссылке, зависит от цели и местоположения ссылки.

"Лаборатория Касперского" использует полученные данные в анонимной форме и только для целей общей статистики. Сводная статистика автоматически формируется из полученной исходной информации и не содержит каких-либо персональных или прочих конфиденциальных данных. При накоплении новых данных предыдущие данные уничтожаются (один раз в год). Сводная статистика хранится неограниченное время.

[Topic 261327]

Предоставление данных в Kaspersky Unified Monitoring and Analysis Platform

Данные, передаваемые третьим сторонам

При использовании функциональности KUMA отсутствует автоматическая передача данных пользователя третьим сторонам.

Данные, обрабатываемые локально

Kaspersky Unified Monitoring and Analysis Platform (далее "KUMA" или "программа") – это комплексное программное решение, сочетающее в себе следующие основные функции:

• получение, обработка и хранение событий информационной безопасности;
• анализ и корреляция поступающих данных;
• поиск по полученным событиям;
• создание уведомлений о выявлении признаков угроз информационной безопасности;
• создание алертов и инцидентов для обработки угроз информационной безопасности;
• отображение информации о состоянии инфраструктуры заказчика на панели мониторинга и в отчетах;
• мониторинг источников событий;
• управление устройствами (активами): просмотр информации об активах, поиск, добавление, редактирование и удаление активов, экспорт данных об активах в файл формата CSV.

Для выполнения своих основных функций KUMA может принимать, хранить и обрабатывать следующую информацию:

• Данные об устройствах в сети организации.

  Сервер Ядра KUMA получает данные, если настроена соответствующая интеграция. Вы можете добавить активы в KUMA следующими способами:

  • Импортировать активы:
    • По запросу из MaxPatrol.
    • По расписанию: из Kaspersky SMP и KICS for Networks.
  • Создать активы вручную через веб-интерфейс или с помощью API.

  KUMA хранит следующие данные об устройствах:

  • Технические характеристики устройства.
  • Данные, специфичные для источника получения актива.
• Дополнительные технические характеристики устройств в сети организации, которые пользователь указывает для отправки инцидента в НКЦКИ: IP-адреса, доменные имена, URI-адреса, адрес электронной почты контролируемого объекта, атакованная сетевая служба и порт/протокол.
• Информация об организации: название, ИНН, почтовый адрес, адрес электронной почты для отправки уведомлений.
• Данные Active Directory об организационных единицах, доменах, пользователях, группах, полученные в результате опроса сети Active Directory.

  Сервер Ядра KUMA получает эти данные, если настроена соответствующая интеграция. Для обеспечения безопасного подключения к серверу LDAP пользователь вводит URL сервера, Base DN, учетные данные для подключения и сертификат в Консоли KUMA.

• Данные для доменой аутентификации пользователей в KUMA: корневой DN для поиска групп доступа в службе каталогов Active Directory, URL-адрес контроллера домена, сертификат (публичный ключ root, которым подписан сертификат AD), полный путь к группе доступа пользователей в AD (distinguished name).
• Данные, содержащиеся в событиях от настроенных источников.

  В коллекторе настраивается источник событий, формируются события KUMA и передаются далее в другие сервисы KUMA. Иногда события могут поступать сначала в сервис агент, который передает события от источника в коллектор.

• Данные, необходимые для интеграции KUMA с другими приложениями (Kaspersky Threat Lookup, Kaspersky CyberTrace, Kaspersky SMP, Kaspersky Industrial CyberSecurity for Networks, Kaspersky Automated Security Awareness Platform, Kaspersky Endpoint Detection and Response, Security Orchestration, Automation and Response).

  Это могут быть сертификаты, токены, URL или данные учетной записи для установки соединения с другим приложением, а также другие данные для обеспечения основной функциональности KUMA, например email. Пользователь вводит эти данные в Консоли KUMA.

• Данные об источниках, с которых настроено получение событий.

  Это могут быть название источника, имя устройства, IP-адрес, политика мониторинга, назначенная этому источнику. В политике мониторинга указывается адрес электронной почты ответственного, кому будет отправлено уведомление при нарушении политики.

• Учетные записи пользователей: имя, логин, адрес электронной почты. Пользователь может просмотреть свои данные в профиле в Консоли KUMA.
• Параметры профиля пользователя:
  • Роль пользователя в KUMA. Пользователь может видеть назначенную ему роль.
  • Язык локализации, параметры уведомлений, отображение непечатаемых символов.

    Пользователь вводит эти данные в интерфейсе KUMA.

  • Список категорий активов в разделе Активы, панель мониторинга по умолчанию, признак режима ТВ для панели мониторинга, SQL-запрос по событиям по умолчанию, пресет по умолчанию.

    Пользователь указывает эти параметры в соответствующих разделах Консоли KUMA.

• Данные для доменной аутентификации пользователей в KUMA:
  • Active Directory: корневой DN для поиска групп доступа в службе каталогов Active Directory, URL-адрес контроллера домена, сертификат (публичный ключ root, которым подписан сертификат AD), полный путь к группе доступа пользователей в AD (distinguished name).
  • Active Directory Federation Services (ADFS): идентификатор доверенной стороны (идентификатор KUMA в ADFS), URI для получения метаданных Connect, URL для перенаправления из ADFS и сертификат сервера ADFS.
  • FreeIPA: Base DN, URL, сертификат (открытый корневой ключ, который использовался для подписи сертификата FreeIPA), пользовательские учетные данные для интеграции, учетные данные для подключения.
• События аудита.

  KUMA автоматически фиксирует события аудита.

• Журнал KUMA.

  Пользователь может включить ведение расширенных записей журналов в Консоли KUMA. Записи журнала хранятся на устройстве пользователя, автоматическая передача данных отсутствует.

• Информация о принятии пользователем условий юридических соглашений с "Лабораторией Касперского".
• Любые данные, которые пользователь вводит в интерфейсе KUMA.

Перечисленные выше данные могут попасть в KUMA следующими способами:

• Пользователь вводит данные в Консоли KUMA.
• Сервисы KUMA (агент или коллектор) получают данные при настроенном пользователем подключении к источникам событий.
• Через REST API KUMA.
• Данные об устройствах могут быть получены с помощью утилиты из MaxPatrol.

Перечисленные данные хранятся в базе данных KUMA (Mongo DB, Click House, SQLite). Пароли хранятся в зашифрованном виде (хранится хеш паролей).

Все перечисленные выше данные могут быть переданы "Лаборатории Касперского" только в файлах дампа, файлах трассировки или файлах журналов компонентов KUMA, включая файлы журналов, создаваемые установщиком и утилитами.

Файлы дампа, файлы трассировки и файлы журналов компонентов KUMA могут содержать персональные и конфиденциальные данные. Файлы дампа, файлы трассировки и файлы журналов хранятся в открытом виде на устройстве. Файлы дампа, файлы трассировки и файлы журналов не передаются в "Лабораторию Касперского" автоматически, но администратор может передать эти данные в "Лабораторию Касперского" вручную по запросу Службы технической поддержки для решения проблем в работе KUMA.

"Лаборатория Касперского" использует полученные данные в анонимной форме и только для целей общей статистики. Сводная статистика автоматически формируется из полученной исходной информации и не содержит каких-либо персональных или прочих конфиденциальных данных. При накоплении новых данных предыдущие данные уничтожаются (один раз в год). Сводная статистика хранится неограниченное время.

"Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи.

[Topic 264017]

Начало работы

Следующие сценарии представляют собой пошаговые инструкции от приобретения Kaspersky SMP до расследования инцидентов и поиска угроз.

Начните с установки и первоначальной настройки Kaspersky SMP, изучите функции обнаружения и поиска угроз Kaspersky SMP и ознакомьтесь с примером рабочего процесса расследования инцидентов.

[Topic 263892]

Развертывание и первоначальная настройка Kaspersky SMP

Следуя этому сценарию, вы можете развернуть Kaspersky SMP со всеми компонентами, необходимыми для работы Kaspersky SMP, а также выполнить необходимые предварительные настройки и интеграции.

Предварительные требования

Перед тем как начать, убедитесь в следующем:

• Вам нужно использовать лицензионный ключ для Kaspersky SMP и совместимых EPP-программ.
• Ваша инфраструктура соответствует требованиям к аппаратному и программному обеспечению.

Этапы

Основной сценарий установки и первоначальной настройки состоит из следующих этапов:

1. Развертывание

   Подготовьте свою инфраструктуру к развертыванию Kaspersky SMP и всех необходимых компонентов для Kaspersky SMP и разверните решение с помощью утилиты Kaspersky Deployment Toolkit.

2. Активация

   Активируйте по лицензии решение Kaspersky SMP.

3. Настройка мультитенантности

   Если требуется, вы можете использовать возможности мультитенантности:

   1. Спланируйте и создайте требуемую иерархию тенантов.
   2. Создайте соответствующую иерархию Серверов администрирования в Kaspersky SMP.
   3. Привяжите тенанты к соответствующим Серверам администрирования.
   4. Создайте учетные записи для всех пользователей Kaspersky SMP и назначьте роли.
4. Добавление активов

   Устройства в вашей инфраструктуре, которые необходимо защитить, представлены в Kaspersky SMP как активы. Kaspersky SMP позволяет обнаруживать устройства в вашей сети и управлять их защитой. Вы также сможете добавлять активы вручную или импортировать их из других источников на этапе 8.

   Учетные записи пользователей также представлены как активы в Kaspersky SMP. Убедитесь что интеграция с Active Directory на этапе 9 настроена, чтобы включить отображение затронутых учетных записей пользователей в связанных событиях, алертах и инцидентах.

5. Добавление пользователей и назначение ролей

   Назначьте роли учетным записям пользователей, чтобы определить их права доступа к различным функциям Kaspersky SMP в зависимости от их задач.

6. Подключение к SMTP-серверу

   Настройте подключение к SMTP-серверу для получения уведомлений по электронной почте о событиях, возникающих в Kaspersky SMP.

7. Установка программ и решений для защиты конечных точек

   Kaspersky SMP работает с событиями, полученными от программ безопасности, установленных на ваших активах. Проверьте список совместимых программ и решений "Лаборатории Касперского". Вы можете использовать Kaspersky SMP для развертывания программ "Лаборатории Касперского" на устройствах в вашей инфраструктуре.

   Убедитесь, что программы защиты конечных точек интегрированы с Kaspersky Anti Targeted Attack Platform. Например, если вы используете Kaspersky Endpoint Security на своих активах, обратитесь к одной из следующих справок, чтобы узнать, как настроить интеграцию с KATA:

   • Kaspersky Endpoint Security для Windows
   • Kaspersky Endpoint Security для Linux
   • Kaspersky Endpoint Security для Mac
8. Настройка источников событий, хранения и корреляции

   Укажите, откуда должны быть получены события, а также как они должны храниться и обрабатываться:

   1. Войдите в Консоль KUMA.
   2. Настройте интеграцию Kaspersky Unified Monitoring and Analysis Platform и Kaspersky SMP.
   3. Импортируйте активы из Kaspersky SMP.
   4. Добавьте активы вручную или импортируйте их из других источников (необязательно).
   5. Настройте источники событий, чтобы указать, откуда вы хотите получать события.
   6. Создайте хранилище для событий.
   7. Создайте коллекторы для приема, обработки (нормализации) и передачи событий.
   8. Создайте корреляторы для первоначального анализа нормализованных событий и их дальнейшей обработки.

      При создании коллектора вы можете создать правила корреляции, которые определяют правила обработки и реагирования на события, а также импортировать ранее сохраненные правила корреляции или использовать готовый набор правил корреляции, входящий в состав решения Kaspersky SMP. После создания коррелятора вы можете связать правила корреляции с коррелятором, если это необходимо.

      Рекомендуется настроить исключения на этом этапе, чтобы избежать ложных срабатываний и нерелевантных данных.

9. Настройка интеграций

   Настройте интеграцию Kaspersky SMP с Active Directory и другими решениями "Лаборатории Касперского", чтобы расширить его возможности и обогатить данные, доступные для расследования инцидентов.

   1. Интеграция с Active Directory (рекомендуется).
   2. Интеграция с KATA/EDR (требуется лицензия).
   3. Интеграция с Kaspersky CyberTrace (необязательная интеграция; требуется лицензия).
   4. Интеграция с Kaspersky TIP (необязательная интеграция; требуется лицензия) или Kaspersky Open TIP.
   5. Интеграция с Kaspersky Automated Security Awareness Platform (необязательная интеграция; требуется лицензия).
10. Настройка обновлений

    Создайте задачу Загрузка обновлений в хранилище Сервера администрирования.

11. Проверка корректности конфигурации

    Используйте тестовый файл EICAR на одном из активов. Если первоначальная настройка была выполнена правильно и были настроены необходимые правила корреляции, это событие вызовет создание алерта в списке алертов.

После завершения первоначальной настройки события от защищаемых активов будут получены и обработаны Kaspersky SMP, а из событий правила корреляции будет создан алерт.

[Topic 274392]

Проверка настройки Kaspersky MSP

Вы можете использовать тестовый "вирус" EICAR на одном из активов, чтобы убедиться, что Kaspersky SMP правильно развернут и настроен. Если первоначальная настройка была выполнена правильно и были настроены необходимые правила корреляции, соответствующее событие вызовет создание алерта в списке алертов.

Чтобы проверить настройку Kaspersky MSP:

1. Создайте коррелятор в Консоли KUMA.

   При создании коррелятора не указывайте параметры в разделе Корреляция.

2. Импортируйте правила корреляции из пакета SOC Content, чтобы получить предустановленные правила корреляции, используемые для обнаружения тестового "вируса" EICAR.
3. Укажите правило корреляции для созданного коррелятора.

   Вы можете указать правило корреляции одним из следующих способов:

   • Свяжите предустановленное правило корреляции с созданным коррелятором:
     1. Перейдите в раздел Ресурсы, нажмите на Правила корреляции и выберите тенанта, к которому будет применяться правило корреляции.
     2. В списке предустановленных правил корреляции выберите правило R077_02_KSC.Malware detected, чтобы обнаруживать события Kaspersky Security Center.
     3. Нажмите на Связать с коррелятором и выберите созданный коррелятор, чтобы связать выбранное правило корреляции с коррелятором.
   • Создайте правило корреляции с предустановленными фильтрами вручную:
     1. Откройте параметры созданного коррелятора, перейдите в раздел Корреляция и нажмите на кнопку Добавить.
     2. В окне Создание правила корреляции на вкладке Общие задайте следующие параметры, так же как и другие параметры:
        • Вид: простой.
        • Наследуемые поля: DestinationAddress, DestinationHostName, DestinationAccountID, DestinationAssetID, DestinationNtDomain, DestinationProcessName, DestinationUserName, DestinationUserID, SourceAccountID, SourceUserName.
     3. Перейдите в раздел Селекторы → Параметры и укажите выражение для фильтрации необходимых событий:
        • В режиме конструктора добавьте фильтры событий KSC, Обнаружен вирус программой KSC и Базовые события с помощью оператора AND.
        • Также вы можете указать это выражение в режиме исходного кода следующим образом:

          filter='b308fc22-fa79-4324-8fc6-291d94ef2999'

          AND filter='a1bf2e45-75f4-45c1-920d-55f5e1b8843f'

          AND filter='1ffa756c-e8d9-466a-a44b-ed8007ca80ca'

     4. В разделе Действия в параметрах правила корреляции установите только флажок Вывод (флажки Цикл для коррелятора и Нет алертов должны быть сняты). В этом случае при обнаружении тестового "вируса" EICAR будет создано событие корреляции и алерт будет создан в списке алертов Kaspersky SMP.
     5. Нажмите на кнопку Создать сейчас, чтобы сохранить параметры правила корреляции, связанные с коррелятором.
4. Создайте и настройте в Консоли KUMA коллектор для получения информации о событиях Сервера администрирования из базы данных MS SQL.

   Также вы можете использовать предустановленный коллектор [OOTB] KSC SQL.

5. В разделе параметров коллектора Маршрутизация установите Тип коррелятора и укажите созданный коррелятор в поле URL, чтобы пересылать ему обработанные события.
6. Установите Агент администрирования и программу защиты конечных точек (например, Kaspersky Endpoint Security) на актив в сети вашей организации. Убедитесь, что актив подключен к Серверу администрирования.
7. Поместите тестовый файл EICAR на актив, а затем обнаружьте тестовый "вирус" с помощью программы защиты конечных точек.

После этого Сервер администрирования получит уведомление о событии на активе. Это событие будет перенаправлено в компонент KUMA, преобразовано в событие корреляции, после чего в Kaspersky SMP будет создан алерт в списке алертов. Если алерт создан, значит Kaspersky SMP работает правильно.

[Topic 264024]

Использование функций мониторинга, обнаружения и поиска угроз

После установки и настройки Kaspersky SMP вы можете использовать функции Kaspersky SMP для мониторинга безопасности вашей инфраструктуры, расследования инцидентов безопасности, автоматизации рабочих процессов и автоматического поиска угроз:

• Использование панели мониторинга и настройка веб-виджетов

  Вкладка Обнаружение и реагирование по панели мониторинга может содержать веб-виджеты, которые отображают информацию о зарегистрированных алертах и инцидентах, а также действиях по реагированию на них. Вы можете использовать и настраивать предварительно настроенные макеты веб-виджетов для своей панели мониторинга или создавать макеты и веб-виджеты.

  Kaspersky SMP также предоставляет различные инструменты для мониторинга безопасности и создания отчетов.

• Использование отчетов

  Вы можете настроить формирование отчетов в Kaspersky Unified Monitoring and Analysis Platform для получения необходимых сводных данных по указанному расписанию.

• Использование поиска угроз

  Вы можете использовать инструменты поиска угроз для анализа событий и поиска угроз и уязвимостей, которые не были обнаружены автоматически. Поиск угроз можно использовать как для расследования инцидентов и алертов, так и для автоматического поиска угроз.

• Использование плейбуков

  Вы можете использовать плейбуки для автоматизации действий по реагированию на алерты и инциденты в соответствии с заданным алгоритмом. Существует ряд предустановленных плейбуков, которые вы можете запускать в различных режимах работы. Вы можете создавать пользовательские плейбуки.

[Topic 264018]

Пример расследования инцидента с помощью Kaspersky SMP

Этот сценарий представляет собой пример рабочего процесса расследования инцидента.

Расследование инцидента проходит поэтапно:

1. Назначение алерта пользователю

   Вы можете назначить алерт себе или другому пользователю.

2. Проверка совпадения сработавшего правила корреляции с данными событий алерта

   Просмотрите информацию об алерте и убедитесь, что данные о событии алерта соответствуют сработавшему правилу корреляции.

3. Анализ информации об алерте

   Проанализируйте информацию об алерте, чтобы определить, какие данные требуются для дальнейшего анализа алерта.

4. Обогащение вручную

   Запустите доступные решения для дополнительного обогащения события (например, Kaspersky TIP).

5. Проверка ложного срабатывания

   Убедитесь, что действие, запустившее правило корреляции, является аномальным для ИТ-инфраструктуры организации.

6. Создание инцидента

   Если шаги с 3 по 5 показывают, что алерт требует расследования, вы можете создать инцидент или связать алерт с существующим инцидентом.

   Вы также можете объединить инциденты.

7. Расследование

   Этот шаг включает в себя просмотр информации об активах, учетных записях пользователей и алертах, связанных с инцидентом. Вы можете использовать граф расследования и инструменты поиска угроз, чтобы получить дополнительную информацию.

8. Поиск связанных активов

   Вы можете просмотреть алерты, которые возникли на активах, связанных с инцидентом.

9. Поиск связанных событий

   Вы можете расширить область расследования, выполнив поиск событий связанных алертов.

10. Запись причин инцидента

    Вы можете записать информацию, необходимую для расследования, в журнал изменений инцидента.

11. Действие по реагированию

    Вы можете выполнять действия по реагированию вручную.

12. Закрытие инцидента

    После принятия мер по удалению следов присутствия злоумышленника в ИТ-инфраструктуре организации можно закрыть инцидент.

[Topic 249211]

Развертывание Kaspersky SMP

Следуя этому сценарию, вы можете подготовить свою инфраструктуру к развертыванию Kaspersky SMP и всех необходимых компонентов, подготовить конфигурационный файл, содержащий параметры установки, и развернуть решение с помощью утилиты Kaspersky Deployment Toolkit (далее также KDT).

Прежде чем приступить к развертыванию Kaspersky SMP и компонентов Kaspersky SMP, рекомендуется прочитать Руководство по усилению защиты.

Сценарий развертывания состоит из следующих этапов:

1. Выбор варианта установки Kaspersky SMP

   Для работы Kaspersky SMP необходимы следующие устройства:

   • Устройство администратора

     Устройство администратора – это физическая или виртуальная машина, которая используется для развертывания и управления кластером Kubernetes и Kaspersky SMP. Устройство администратора не входит в кластер Kubernetes.

     Поскольку KDT работает на устройстве администратора, это устройство должно соответствовать требованиям KDT.

   • Целевые устройства

     Целевые устройства – это физические или виртуальные машины, на которых устанавливается Kaspersky SMP. Используются следующие целевые устройства:

     • Целевые устройства для установки компонентов Kaspersky SMP

       Устройства, которые входят в кластер Kubernetes и выполняют рабочую нагрузку компонентов Kaspersky SMP.

       Целевые устройства должны соответствовать требованиям для выбранного варианта развертывания (распределенное развертывание или развертывание на одном узле). Также целевые устройства должны находиться в том же широковещательном домене.

     • Целевые устройства KUMA для установки сервисов KUMA

       Целевые устройства, не входящие в кластер Kubernetes и используемые для установки сервисов KUMA (корреляторы, коллекторы и хранилища). Количество целевых устройств KUMA зависит от количества событий которые Kaspersky SMP должен обработать.

       Целевые устройства KUMA должны соответствовать требованиям к оборудованию, программному обеспечению и требованиям установки, необходимым для установки сервисов KUMA.

   • Устройство СУБД (только для распределенного развертывания)

     Устройством для установки СУБД может быть отдельный сервер, расположенный вне кластера Kubernetes. Или устройство СУБД может быть включено в кластер. Для распределенного развертывания рекомендуется устанавливать СУБД вне кластера, так как в этом случае производительность СУБД выше. Установка СУБД внутри кластера может быть полезна, например, в демонстрационных целях.

     Требования к устройству СУБД одинаковы независимо от того, входит он в кластер или нет.

   Для корректной работы Kaspersky SMP необходимо установить и настроить Kaspersky Anti Targeted Attack Platform с помощью Kaspersky Endpoint Detection and Response. Подробную информацию о сценариях развертывания KATA см. в документации KATA.

   Выберите конфигурацию Kaspersky SMP, наиболее подходящую для вашей организации. Вы можете использовать руководство по масштабированию, в котором описаны требования к оборудованию и рекомендуемый вариант развертывания в зависимости от количества устройств в организации.

   Доступны схемы распределенного развертывания и развертывания на одном узле:

   • Распределенное развертывание

     Рекомендуемый вариант установки Kaspersky SMP. При распределенном развертывании компоненты Kaspersky SMP устанавливаются на нескольких рабочих узлах кластера Kubernetes, и при выходе из строя одного узла кластер может восстановить работу компонентов на другом узле.

     В этой конфигурации вам понадобится минимум семь устройств:

     • 1 устройство администратора;
     • 4 целевых устройства для установки кластера Kubernetes и компонентов Kaspersky SMP;
     • 1 устройство для установки СУБД;
     • 1 целевое устройство KUMA для установки сервисов KUMA.

     В этой конфигурации СУБД может быть установлена на устройстве, которое находится вне или внутри кластера Kubernetes.

   • Развертывание на одном узле

     При развертывании на одном узле все компоненты Kaspersky SMP устанавливаются на одном узле кластера Kubernetes. Вы можете выполнить развертывание Kaspersky SMP на одном узле, чтобы решение потребовало меньше вычислительных ресурсов (например, в демонстрационных целях).

     В этой конфигурации вам понадобится минимум три устройства:

     • 1 устройство администратора;
     • 1 целевое устройство для установки кластера Kubernetes, компонентов Kaspersky SMP и СУБД;
     • 1 целевое устройство KUMA для установки сервисов KUMA.

     В этой конфигурации СУБД устанавливается внутри кластера Kubernetes на целевом устройстве и не требует отдельного узла.

2. Загрузка дистрибутива с компонентами Kaspersky SMP

   В состав дистрибутива входят следующие компоненты:

   • Архив с компонентами Kaspersky SMP.
   • Шаблон конфигурационного файла.
   • Шаблон файла инвентаря KUMA.
   • Утилита KDT, которая позволяет развернуть Kaspersky SMP.
   • Лицензионные соглашения Kaspersky SMP и KDT.
3. Установка системы управления базами данных (СУБД)

   При необходимости установите СУБД вручную на отдельный сервер вне кластера Kubernetes.

   Пропустите этот шаг, если вы хотите установить СУБД внутри кластера. KDT установит СУБД во время развертывания Kaspersky SMP. В этом случае компоненты Kaspersky SMP и СУБД будут использовать одно целевое устройство.

4. Подготовка устройства администратора и целевых устройств

   С учетом выбранной схемы развертывания определите количество целевых устройств, на которых вы будете разворачивать кластер Kubernetes и компоненты Kaspersky SMP, входящие в этот кластер. Подготовьте выбранные устройства администратора и целевые машины к развертыванию Kaspersky SMP.

   Если вы разворачиваете Kaspersky SMP на одном узле кластера, выполните все подготовительные работы, необходимые для целевых устройств (как для первичного, так и для рабочего узла).

5. Подготовка устройств к установке сервисов KUMA

   Сервисы KUMA (коллекторы, корреляторы и хранилища) устанавливаются на устройства, расположенные вне кластера Kubernetes. Подготовьте целевые устройства KUMA к установке. Количество целевых устройств KUMA зависит от количества событий которые Kaspersky SMP должен обработать.

6. Подготовка файла инвентаря KUMA для установки сервисов KUMA

   Подготовка файла инвентаря KUMA в формате YAML Файл инвентаря KUMA содержит параметры для установки сервисов KUMA

7. Подготовка конфигурационного файла

   Подготовка конфигурационного файла в формате YAML Конфигурационный файл, содержащий список целевых устройств для развертывания и набор параметров для установки компонентов Kaspersky SMP.

   Конфигурационный файл можно использовать, например, для развертывания Kaspersky SMP, обновления компонентов Kaspersky SMP и добавления плагинов управления для программам "Лаборатории Касперского".

   Если вы разворачиваете Kaspersky SMP на отдельном узле, используйте конфигурационный файл, содержащий параметры установки, характерные для развертывания на одном узле.

   Вы можете заполнить шаблон конфигурационного файла вручную либо с помощью мастера настройки: укажите параметры установки, необходимые для развертывания Kaspersky SMP и сгенерируйте конфигурационный файл.

8. Развертывание Kaspersky SMP

   KDT разворачивает Kaspersky SMP с помощью конфигурационного файла. KDT автоматически разворачивает кластер Kubernetes, в котором установлены компоненты Kaspersky SMP и другие компоненты инфраструктуры.

9. Установка сервисов KUMA

   Установите сервисы KUMA (коллекторы, корреляторы и хранилища) на подготовленные целевые устройства KUMA, расположенные вне кластера Kubernetes.

10. Настройка интеграции с Kaspersky Anti Targeted Attack Platform

    Установите Central Node, чтобы получать телеметрию от Kaspersky Anti Targeted Attack Platform, а затем настройте интеграцию Kaspersky SMP и KATA/KEDR для управления действиями по реагированию на угрозы на активах, подключенных к серверам Kaspersky Endpoint Detection and Response.

    При необходимости вы можете установить несколько компонентов Central Node, чтобы использовать их независимо друг от друга или объединить для централизованного управления в режиме распределенного решения. Чтобы объединить несколько компонентов Central Node, вам нужно организовать серверы с компонентами в иерархию.

    Двухуровневая иерархия серверов с установленными компонентами Central Node. Эта иерархия выделяет первичный управляющий сервер (Primary Central Node (PCN)) и вторичные серверы (Secondary Central Nodes (SCN)).

    При настройке серверов Central Node вам нужно указать минимально возможное значение в поле Хранилище, чтобы избежать дублирования данных между базами Kaspersky SMP и KEDR.

[Topic 245736]

Руководство по усилению защиты

Программа Kaspersky SMP предназначена для централизованного решения основных задач по управлению и обслуживанию системы защиты сети организации. Программа предоставляет администратору доступ к детальной информации об уровне безопасности сети организации. Kaspersky Single Management Platform позволяет настраивать все компоненты защиты, построенной на основе программ "Лаборатории Касперского".

Сервер администрирования имеет полный доступ к управлению защитой клиентских устройств и является важнейшим компонентом системы защиты организации. Поэтому для Сервера администрирования требуются усиленные меры защиты.

В Руководстве по усилению защиты описаны рекомендации и особенности настройки Kaspersky Single Management Platform и его компонентов для снижения рисков его компрометации.

Руководство по усилению защиты содержит следующую информацию:

• выбор схемы развертывания Сервера Администрирования;
• настройка безопасного подключения к Серверу Администрирования;
• настройка учетных записей для работы с Сервером администрирования;
• управление защитой Сервера администрирования;
• Управление защитой клиентских устройств
• Настройка защиты управляемых приложений
• Обслуживание Сервера администрирования
• Передача информации в сторонние системы
• Рекомендации по безопасности сторонних информационных систем

[Topic 270657]

Управление инфраструктурой Kaspersky SMP

В этом разделе описан общий принцип использования минимально необходимого количества программ для работы операционной системы и Kaspersky SMP. Также в этом разделе описан принцип минимальных привилегий, который сводится к концепции нулевого доверия.

Управление учетными записями операционной системы

Для работы с кластером Kubernetes с помощью KDT рекомендуется создать отдельного пользователя с минимальными правами. Оптимальным способом является реализация управления учетными записями пользователей операционной системы с помощью LDAP, с возможностью отзыва прав пользователей через LDAP. Информацию о конкретной реализации отзыва прав и блокировки пользователей см. в руководстве пользователя/администратора в вашем решении LDAP. Рекомендуется использовать пароль длиной не менее 18 символов или физические средства аутентификации (например, токен) для аутентификации пользователя операционной системы.

Также рекомендуется защищать корневой каталог документов пользователя и все вложенные каталоги таким образом, чтобы только пользователь имел к ним доступ. Другие пользователи и группа пользователей не должны иметь прав на корневой каталог документов.

Рекомендуется не предоставлять права на запуск для директорий .ssh, .kube, .config и .kdt, а также для всех файлов, содержащихся в этих директориях в корневой директории документов пользователя.

Управление пакетами операционной системы

Рекомендуется использовать минимальный набор программ, необходимый для работы KDT и Kaspersky SMP. Например, вам не нужно использовать графический пользовательский интерфейс для работы в кластере Kubernetes, поэтому не рекомендуется устанавливать графические пакеты. Если пакеты установлены, рекомендуется удалить эти пакеты, включая графические серверы, такие как Xorg или Wayland.

Рекомендуется регулярно устанавливать обновления безопасности для системного программного обеспечения и ядра Linux. Также рекомендуется включить автоматическое обновление следующим образом:

• Для операционных систем с диспетчером пакетов atp:

  /etc/apt/apt.conf.d/50unattended-upgrades

  Unattended-Upgrade::Allowed-Origins { "${distro_id}:${distro_codename}-security"; "${distro_id}ESMApps:${distro_codename}-apps-security"; "${distro_id}ESM:${distro_codename}-infra-security"; };
• Для операционных систем с диспетчером пакетов rp, dnf и yum:

  /etc/dnf/automatic.conf

  [commands] # Какое обновление выполнить: # default = все доступные обновления # security = только обновления безопасности upgrade_type = default # Следует ли скачивать обновления, когда они будут доступны, # dnf-automatic.timer. notifyonly.timer, download.timer и # install.timer отменяют этот параметр. download_updates = yes # Следует ли применять обновления, когда они будут доступны, # dnf-automatic.timer. notifyonly.timer, download.timer и # install.timer отменяют этот параметр. apply_updates = no

Параметры безопасности операционной системы

Параметры безопасности ядра Linux можно включить в файле /etc/sysctl.conf или с помощью команды sysctl. Рекомендуемые параметры безопасности ядра Linux перечислены во фрагменте файла /etc/sysctl.conf:

/etc/sysctl.conf

Рекомендуется ограничить доступ к PID. Это уменьшит вероятность того, что один пользователь будет отслеживать процессы другого пользователя. Вы можете ограничить доступ к PID при монтировании файловой системы /proc, например, добавив следующую строку в файл /etc /fstab:

Если процессы операционной системы управляются с помощью системы systemd, служба systemd-logind по-прежнему может контролировать процессы других пользователей. Для корректной работы пользовательских сессий в системе systemd необходимо создать файл /etc/systemd/system/systemd-logind.service.d/hidepid.conf и добавить в него следующие строки:

Так как в некоторых системах может не быть группы proc, рекомендуется добавить группу proc заранее.

Рекомендуется выключить комбинацию клавиш Ctrl+Alt+Del, чтобы предотвратить неожиданную перезагрузку операционной системы с помощью команды systemctl mask ctrl-alt-del.target.

Рекомендуется запретить аутентификацию привилегированных пользователей (пользователей root) для установления удаленного подключения пользователя.

Рекомендуется использовать сетевой экран для ограничения сетевой активности. Об используемых портах и протоколах см. в разделе Порты, используемые Kaspersky SMP.

Рекомендуется включить auditd, чтобы упростить расследование инцидентов безопасности. О включении перенаправления телеметрии см. в разделе Настройка получения событий Auditd.

Рекомендуется регулярно создавать резервные копии следующих конфигураций и директорий данных:

• Устройство администратора: ~/kdt
• Целевое устройство: /etc/k0s/, /var/lib/k0s

Также рекомендуется зашифровать эти резервные копии.

Руководства по усилению защиты для различных операционных систем и СУБД

Если вам нужно настроить параметры безопасности вашей операционной системы и программного обеспечения, вы можете использовать рекомендации, предоставленные Center for Internet Security (CIS).

Если вы используете операционную систему Astra Linux, обратитесь к рекомендациям по безопасности, которые можно применить к вашей версии Astra Linux.

Если вам необходимо настроить параметры безопасности PostgreSQL, воспользуйтесь рекомендациями по администрированию сервера из официальной документации PostgreSQL.

[Topic 245773]

Безопасность соединения

Использование TLS

Рекомендуется запретить небезопасные подключения к Серверу администрирования. Например, при настройке Сервера администрирования, рекомендуется не включать подключения по HTTP-протоколу к Серверу администрирования.

Обратите внимание, что по умолчанию часть HTTP-портов Сервера администрирования закрыта. Оставшийся порт используется Веб-сервером Kaspersky Security Center (8060). Этот порт можно ограничить параметрами сетевого экрана устройства с Сервером администрирования.

Строгие параметры TLS

Рекомендуется использовать протокол TLS версии 1.2 или выше и ограничить или запретить использование небезопасных алгоритмов шифрования.

Вы можете настроить протоколы шифрования (TLS), используемые Сервером администрирования. При этом учитывайте, что на момент выпуска определенной версии Сервера администрирования параметры протокола шифрования по умолчанию настроены так, чтобы обеспечить безопасную передачу данных.

Ограничение доступа к базе данных Сервера администрирования

Рекомендуется ограничить доступ к базе данных Сервера администрирования. Например, вы можете разрешить доступ только с устройства с Сервером администрирования. Это позволит снизить вероятность взлома базы Сервера администрирования данных через известные уязвимости.

Вы можете настроить параметры в соответствии с руководством по эксплуатации используемой базы данных, а также предусмотреть закрытые порты на сетевых экранах.

Запрет удаленной аутентификации с учетными записями Windows

Запрет на SSPI-подключения с удаленных адресов возможен с помощью специального флага LP_RestrictRemoteOsAuth. Этот флаг позволяет запретить удаленную аутентификацию на Сервере администрирования для учетных записей Windows, локальных или доменных.

Чтобы переключить флаг LP_RestrictRemoteOsAuth в режим запрета SSPI-подключений с удаленных адресов:

1. Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
2. Выполните следующую команду в командной строке, чтобы указать значение флага LP_RestrictRemoteOsAuth:

   klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth -t d -v 1

3. Перезапустите службу Сервера администрирования.

Флаг LP_RestrictRemoteOsAuth не работает, если удаленная аутентификация выполняется через Консоль Kaspersky SMP или Консоль администрирования, установленную на том же устройстве, что и Сервер администрирования.

Аутентификация Microsoft SQL Server

Если вы используете Microsoft SQL Server в качестве СУБД Сервера администрирования, нужно защитить от несанкционированного доступа данные Kaspersky Single Management Platform, передаваемые в базу данных или получаемые от нее, а также данные, хранящиеся в этой базе данных. Для этого требуется настроить использование безопасного соединения между Kaspersky Single Management Platform и SQL Server. Самый надежный способ обеспечить безопасную связь - это установить Kaspersky Single Management Platform и SQL Server на одном устройстве и использовать механизм совместной памяти для обеих программ. Во всех других случаях рекомендуется использовать сертификат SSL/TLS для аутентификации экземпляра SQL Server.

Настройка списка разрешенных IP-адресов для подключения к Серверу администрирования

По умолчанию пользователи могут войти в Kaspersky Single Management Platform с любого устройства, на котором установлено Kaspersky Single Management Platform или Консоль администрирования на основе Microsoft Management Console (MMC). Настроить Сервер администрирования можно таким образом, чтобы пользователи могли подключаться к нему только с устройств с разрешенными IP-адресами. В этом случае, даже если злоумышленник похитит учетную запись Kaspersky Single Management Platform, он не сможет войти в Kaspersky Single Management Platform, так как IP-адрес устройства злоумышленника отсутствует в списке разрешенных.

[Topic 245774]

Учетные записи и авторизация

Использование двухэтапной проверки Сервера администрирования

Kaspersky Single Management Platform предоставляет пользователям Консоли Kaspersky SMP и Консоли администрирования возможность использовать двухэтапную проверку на основе стандарта RFC 6238 (TOTP: Time-Based One-Time Password algorithm).

Если для вашей учетной записи включена двухэтапная проверка, каждый раз при входе в Консоль Kaspersky SMP или Консоль администрирования вы вводите свое имя пользователя, пароль и дополнительный одноразовый код безопасности. Если вы используете доменную аутентификацию для своей учетной записи, вам необходимо ввести только дополнительный одноразовый код безопасности. Для того чтобы получить одноразовый код безопасности, вам нужно установить приложение проверки подлинности на своем компьютере или мобильном устройстве.

Существуют как программные, так и аппаратные аутентификаторы (токены), поддерживающие стандарт RFC 6238. Например, к программным аутентификаторам относятся Google Authenticator, Microsoft Authenticator, FreeOTP.

Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Серверу администрирования. Например, вы можете установить приложение для проверки подлинности на мобильном устройстве.

Использование двухфакторной аутентификации операционной системы

Для авторизации на устройстве с Сервером администрирования рекомендуется использовать многофакторную аутентификацию (MFA) с использованием токена, смарт-карты или другого способа.

Запрет на сохранение пароля администратора

При использовании Консоли администрирования не рекомендуется сохранять пароль администратора в диалоговом окне подключения к Серверу администрирования.

Также при работе с Консолью Kaspersky SMP через браузер не рекомендуется сохранять пароль администратора в браузере на устройстве пользователя.

Авторизация внутреннего пользователя

По умолчанию пароль внутренней учетной записи пользователя Kaspersky XDR Expert должен соответствовать следующим требованиям:

• Длина пароля должна быть от 8 до 256 символов.

• Пароль должен содержать символы как минимум трех групп списка ниже:

  • верхний регистр (A-Z);

  • нижний регистр (A-Z) (a-z);

  • числа (0-9);

  • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

• Пароль не должен содержать пробелов, символов Юникода или комбинации "." и "@", когда "." расположена перед "@".

По умолчанию максимальное количество попыток ввода пароля равно 10. Вы можете изменить количество попыток ввода пароля.

Пользователь Kaspersky SMP может вводить неверный пароль ограниченное количество раз. После этого учетная запись пользователя блокируется на час.

Отдельная группа администрирования для устройства с Сервером администрирования

Для Сервера администрирования рекомендуется создать выделенную группу администрирования. Предоставьте этой группе особые права доступа и создайте политику безопасности для нее.

Чтобы избежать умышленного понижения уровня защиты Сервера администрирования рекомендуется ограничить список учетных записей, которые могут управлять этой группой администрирования.

Группы KLAdmins и KLOperators

При установке Kaspersky Single Management Platform автоматически формируются группы пользователей KLAdmins и KLOperators. Группе KLAdmins предоставлены все права. Группе KLOperators предоставлены права на Чтение и Выполнение. Набор прав, предоставленных группе KLAdmins, недоступен для изменения.

С помощью стандартных средств администрирования операционной системы можно просмотреть группы KLAdmins и KLOperators и внести изменения в состав этих групп.

При разработке регламентов работы с Сервером администрирования нужно определить, потребуется ли специалисту информационной безопасности полный доступ (и включение в группу KLAdmins) для решения штатных задач.

Большинство базовых задач администрирования могут быть распределены между подразделениями организации (или разными сотрудниками одного подразделения) и, как следствие, между различными учетными записями. Также может быть выполнено разграничение по доступу к группам администрирования в Kaspersky Single Management Platform. В результате можно реализовать такую модель использования, при которой авторизация под учетными записями из группы KLAdmins будет нестандартным поведением, что можно рассматривать как инцидент.

Если установка Kaspersky Single Management Platform проводилась под системной учетной записью, группы создаются только на устройстве с Сервером администрирования. В этом случае рекомендуем убедиться, что в группу включены только учетные записи, созданные во время установки Kaspersky Single Management Platform. Не рекомендуется добавлять в группу KLAdmins другие группы пользователей (локальные и/или доменные), которые были созданы автоматически во время установки Kaspersky Single Management Platform. Также следует ограничить права на изменение этой группы. Группа KLAdmins должна включать единичные непривилегированные учетные записи.

Если установка выполнялась под учетной записью пользователя, входящего в домен, группы KLAdmins и KLOperators создаются как на Сервере администрирования, так и в домене, в который входит Сервер администрирования. Рекомендуется применить аналогичный подход как и в случае с установкой под системной учетной записью.

Ограничить членство в роли «Главный администратор»

Рекомендуется ограничить членство пользователей в роли «Главный администратор».

По умолчанию после установки Сервера администрирования роль «Главный администратор» присвоена группе локальных администраторов устройства и созданной группе KLAdmins. Это удобно для управления, но критично с точки зрения безопасности, так как роль «Главный администратор» имеет очень широкий набор привилегий – назначение этой роли пользователям должно быть строго регламентировано.

Локальных администраторов можно исключить из списка пользователей, имеющих права администратора Kaspersky Single Management Platform. Роль «Главный администратор» нельзя удалить из группы KLAdmins. В нее можно включить учетные записи группы KLAdmins, которые будут использоваться для управления Сервером администрирования.

В случае использования доменной аутентификации, рекомендуется ограничить привилегии учетных записей администраторов домена в Kaspersky Single Management Platform. По умолчанию этим учетным записям присвоена роль «Главный администратор». Также администратор домена может включить свою учетную запись в группу KLAdmins с целью получения роли «Главный администратор». Чтобы этого избежать, в параметрах безопасности Kaspersky Single Management Platform можно добавить группу "Администраторы домена" ("Domain Admins") и определить для нее запрещающие правила. Эти правила будут приоритетнее разрешающих.

Также можно использовать предопределенные роли пользователей с уже настроенным набором прав.

Настройка прав доступа к функциям программы

Рекомендуется использовать возможности гибкой настройки прав доступа пользователей и групп пользователей к разным функциям Kaspersky Single Management Platform.

Управление доступом на основе ролей позволяет создавать типовые роли пользователей с заранее настроенным набором прав и присваивать эти роли пользователям в зависимости от их служебных обязанностей.

Основные преимущества ролевой модели управления доступом:

• простота администрирования;
• иерархия ролей;
• принцип наименьшей привилегии;
• разделение обязанностей.

Вы можете воспользоваться встроенными ролями и присвоить их определенным сотрудникам на основе должностей либо создать полностью новые роли.

При настройке ролей требуется уделить особое внимание привилегиям, связанным с изменением состояния защиты устройства и удаленной установкой стороннего программного обеспечения:

• Управление группами администрирования.
• Операции с Сервером администрирования.
• Удаленная установка.
• Изменение параметров хранения событий и отправки уведомлений.

  Эта привилегия позволяет настроить уведомления, которые запускают скрипт или исполняемый модуль на устройстве с Сервером администрирования при возникновении события.

Отдельная учетная запись для удаленной установки программ

Помимо базового разграничения прав доступа, рекомендуется ограничить возможность удаленной установки приложений для всех учетных записей (кроме "Главного администратора" или иной специализированной учетной записи).

Рекомендуется использовать отдельную учетную запись для удаленной установки программ. Вы можете назначить роль или разрешения отдельной учетной записи.

Обеспечение безопасности привилегированного доступа Windows

Рекомендуется рассмотреть рекомендации Microsoft по обеспечению безопасности привилегированного доступа. Чтобы просмотреть эти рекомендации, перейдите в раздел Обеспечение безопасности привилегированного доступа.

Использование управляемых учетных записей служб (MSA) и групповых управляемых учетных записей служб (gMSA) для запуска служб Сервера администрирования

В Active Directory существует специальный тип учетных записей для безопасного запуска служб – MSA/gMSA. Kaspersky Single Management Platform поддерживает управляемые учетные записи службы (MSA) и групповые управляемые учетные записи службы (gMSA). Если такие учетные записи используются в вашем домене, вы можете выбрать одну из них в качестве учетной записи для службы Сервера администрирования.

Регулярный аудит всех пользователей

Рекомендуется проводить регулярный аудит всех пользователей на устройстве, где установлен Сервер администрирования. Это позволит реагировать на некоторые типы угроз безопасности, связанные с возможной компрометацией устройства.

[Topic 245776]

Управление защитой Сервера администрирования

Выбор программы защиты Сервера администрирования

Выбор приложения для защиты устройства, на котором установлен Сервер администрирования, зависит от типа развертывания Сервера администрирования и общей стратегии защиты.

Если вы разворачиваете Сервер администрирования на выделенном устройстве, рекомендуется выбрать программу Kaspersky Endpoint Security для защиты устройства с Сервером администрирования. Это позволит применить все имеющиеся технологии для защиты устройства, в том числе модули поведенческого анализа.

Если Сервер администрирования устанавливается на уже существующее в инфраструктуре устройство, использованное ранее для выполнения других задач, рекомендуются следующие приложения защиты:

• Kaspersky Industrial CyberSecurity for Nodes. Эту программу рекомендуется устанавливать на устройства, входящие в промышленную сеть. Kaspersky Industrial CyberSecurity for Nodes – это программа, имеющая сертификаты совместимости с различными производителями промышленного программного обеспечения.
• Рекомендованные решения безопасности. Если Сервер администрирования установлен на устройство с другим программным обеспечением, нужно ознакомиться с рекомендациями производителя программного обеспечения по использованию антивирусных решений (возможно, уже существуют рекомендации по выбору приложения защиты, и, вероятно, вам потребуется выполнить настройку доверенной зоны).

Создание отдельной политики безопасности для защиты программы

Для приложения защиты Сервера администрирования нужно создать отдельную политику безопасности. Эта политика должна отличаться от политики безопасности для клиентских устройств. Такой подход позволит задать максимально подходящие параметры безопасности для Сервера администрирования, не влияя при этом на уровень защиты других устройств.

Рекомендуется разделить устройства на группы, определив устройство с Сервером администрирования в отдельную группу администрирования, для которой вы затем можете создать специальную политику безопасности.

Модули защиты

Если отсутствуют особые рекомендации от производителя стороннего программного обеспечения, установленного на том же устройстве, что и Сервер администрирования, рекомендуется активировать и настроить все доступные модули защиты (после проверки их работы в течение определенного времени).

Настройка сетевого экрана устройства с Сервером администрирования

На устройстве с Сервером администрирования рекомендуется настроить сетевой экран таким образом, чтобы ограничить число устройств, с которых администраторы могут подключаться к Серверу администрирования через Консоль администрирования либо Консоль Kaspersky SMP.

По умолчанию Сервер администрирования использует порт 13291 для подключения к Консоли администрирования и порт 13299 для подключения к Консоли Kaspersky SMP. Рекомендуется ограничить число устройств, с которых Сервер администрирования может управляться по этим портам.

Запрет на запуск панели управления

Если вы установили Сервер администрирования на устройство под управлением Microsoft Windows и используете приложение с модулем контроля запуска программ, можно запретить запуск панели управления (control.exe) для непривилегированных пользователей, например для группы администраторов.

В таком случае, после создания указанных запрещающих правил контроля запуска программ, пользователи с правами предустановленной роли Администратора потеряют возможность контролировать другие учетные записи сети, в том числе изменять имена учетных записей и пароли.

[Topic 245787]

Управление защитой клиентских устройств

Ограничение добавления лицензионных ключей в инсталляционные пакеты

Инсталляционные пакеты хранятся в папке общего доступа Сервера администрирования, во вложенной папке Packages. Если лицензионные ключи будут добавлены в инсталляционный пакет, они могут быть доступны на чтение всем пользователям, имеющим права на чтение этой папки общего доступа.

Для того чтобы избежать компрометации лицензионного ключа, не рекомендуется добавлять лицензионные ключи в инсталляционные пакеты.

Рекомендуется использовать автоматическое распространение лицензионных ключей на управляемые устройства, выполнять развертывание с помощью задачи Добавление лицензионного ключа для управляемой программы, и добавлять код активации или файл ключа на устройства вручную.

Правила автоматического перемещения устройств между группами администрирования

Рекомендуется ограничить использование правил автоматического перемещения устройств между группами администрирования.

Использование правил автоматического перемещения может привести к тому, что на устройство будут распространены политики, предоставляющие более широкий набор привилегий, чем было до перемещения.

Перемещение клиентского устройства в другую группу администрирования может привести к распространению на него параметров политик. Эти параметры политик могут быть нежелательны к распространению на гостевые и недоверенные устройства.

Эта рекомендация, не относится к первоначальному распределению устройств по группам администрирования.

Требования к безопасности к устройствам с точками распространения и шлюзам соединений

Устройства с установленным Агентом администрирования могут использоваться в качестве точки распространения и выполнять следующие функции:

• Распространять обновления и инсталляционные пакеты, полученные от Сервера администрирования, на клиентские устройства в группе.
• Выполнять удаленную установку программ сторонних производителей и программ "Лаборатории Касперского" на клиентские устройства.
• Опрашивать сеть с целью обнаружения новых устройств и обновления информации об уже известных устройствах. Точка распространения может использовать те же методы обнаружения устройств, что и Сервер администрирования.

Размещение точек распространения в сети организации используется для следующего:

• уменьшение нагрузки на Сервер администрирования;
• оптимизация трафика;
• предоставление Серверу администрирования доступа к устройствам в труднодоступных частях сети.

С учетом доступных возможностей рекомендуется защитить, в том числе физически, устройства, выполняющие роль точек распространения, от любого типа несанкционированного доступа.

Ограничение автоматического назначения точек распространения

Для упрощения администрирования и сохранения работоспособности сети рекомендуется воспользоваться автоматическим назначением точек распространения. Однако в промышленных и небольших сетях рекомендуется избегать автоматического назначения точек распространения, так как на точки распространения могут быть, например, переданы конфиденциальные сведения учетных записей, используемых для работы задач принудительной удаленной установки средствами операционной системы.

В промышленных и небольших сетях вы можете назначить точки распространения вручную.

При необходимости вы также можете просмотреть Отчет о работе точек распространения.

[Topic 246284]

Настройка защиты управляемых приложений

Политики управляемых приложений

Рекомендуется создать политику для каждого вида используемого приложения и компонента Kaspersky Single Management Platform (Агент администрирования, Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Agent и другие). Эта групповая политика должна применяться ко всем управляемым устройствам (корневой группе администрирования) или к отдельной группе, в которую автоматически попадают новые управляемые устройства в соответствии с настроенными правилами перемещения.

Установка пароля на выключение защиты и удаление программы

Чтобы злоумышленники не могли отключить программы безопасности "Лаборатории Касперского", рекомендуется установить пароль для выключения защиты и удаления программ безопасности "Лаборатории Касперского". Вы можете установить пароль, например, для Kaspersky Endpoint Security для Windows, Kaspersky Security для Windows Servers, Агента администрирования и других программ "Лаборатории Касперского". После включения защиты паролем рекомендуется заблокировать эти параметры, закрыв их "замком".

Указание пароля для ручного подключения клиентского устройства к Серверу администрирования (утилита klmover)

Утилита klmover позволяет вручную подключить клиентское устройство к Серверу администрирования. При установке на клиентское устройство Агента администрирования утилита автоматически копируется в папку установки Агента администрирования.

Чтобы злоумышленники не могли вывести устройства из-под контроля вашего Сервера администрирования, настоятельно рекомендуется включить защиту паролем для запуска утилиты klmover. Чтобы включить защиту паролем, в параметрах политики Агента администрирования выберите параметр Использовать пароль деинсталляции.

Утилита klmover требует прав локального администратора. Защиту паролем для запуска утилиты klmover можно не устанавливать для устройств, работающих без прав локального администратора.

При включении параметра Использовать пароль деинсталляции также включается защита паролем средствами Cleaner (cleaner.exe).

Использование Kaspersky Security Network

Во всех политиках управляемых приложений и в свойствах Сервера администрирования рекомендуется использовать Kaspersky Security Network (KSN) и принять актуальное Положение о KSN. При обновлении Сервера администрирования вы также можете принять обновленное Положение о KSN. Когда использование облачных служб запрещено законодательством или иными нормативными актами, вы можете не включать KSN.

Регулярная проверка управляемых устройств

Для всех групп устройств вам нужно создать задачу, периодически запускающую полную проверку устройств.

Обнаружение новых устройств

Рекомендуется должным образом настроить параметры обнаружения устройств: настроить интеграцию с контроллерами доменов и указать диапазоны IP-адресов для обнаружения новых устройств.

В целях безопасности вы можете использовать группу администрирования по умолчанию, в которую попадают все новые устройства, и политики по умолчанию, применяемые к этой группе.

Определение папки общего доступа

Если Сервер администрирования развернут на устройстве под управлением Windows, при выборе существующей папки общего доступа, (которая используется, например, для размещения инсталляционных пакетов и хранилища обновляемых баз) рекомендуем убедиться, что права на чтение предоставлены группе "Все" (Everyone), а права на запись – группе KLAdmins.

[Topic 245779]

Передача событий в сторонние системы

Мониторинг и отчеты

Для своевременного реагирования на проблемы безопасности вы можете настроить функции мониторинга и параметры отчетов.

Экспорт событий в SIEM-системы

Для максимально быстрого выявления проблем безопасности до того, как будет нанесен существенный ущерб, рекомендуется использовать передачу событий в SIEM-систему.

Уведомление по электронной почте о событиях аудита

Kaspersky SMP позволяет получать информацию о событиях, произошедших в процессе работы Сервера администрирования и программ "Лаборатории Касперского", установленных на управляемых устройствах. Для своевременного реагирования на возникновение нештатных ситуаций рекомендуется настроить отправку Сервером администрирования уведомлений о публикуемых им событиях аудита, критических событиях, событиях отказа функционирования и предупреждениях.

Поскольку события аудита являются внутрисистемными, они регистрируются редко и количество уведомлений о подобных событиях вполне приемлемо для почтовой рассылки.

[Topic 270598]

Схема развертывания: Распределенное развертывание

Существует несколько вариантов развертывания Kaspersky SMP. Прежде чем начать, убедитесь, что вы знакомы с различными схемами развертывания, и выберите ту, которая лучше всего соответствует требованиям вашей организации.

В этом разделе приводится описание схемы распределенного развертывания.

Схема распределенного развертывания Kaspersky SMP

Схема распределенного развертывания Kaspersky SMP включает следующие основные компоненты:

• Устройство администратора. На этом устройстве администратор использует Kaspersky Deployment Toolkit для развертывания и управления кластером Kubernetes и Kaspersky SMP. Устройство администратора не входит в кластер Kubernetes.
• Кластер Kubernetes. Кластер Kubernetes включает узел контроллера (также называемый первичным узлом во время процедуры развертывания) и как минимум три рабочих узла. Количество рабочих узлов может быть разным. На схеме в качестве примера показано распределение компонентов Kaspersky SMP по рабочим узлам. Фактическое распределение компонентов может отличаться.
• Сервер СУБД. Для корректной работы компонентов Kaspersky SMP необходим сервер с установленной системой управления базами данных. Для установки СУБД администратор использует Kaspersky Deployment Toolkit.
• Устройства с сервисами KUMA. Сервисы KUMA (коллекторы, корреляторы и хранилища) устанавливаются на устройства, расположенные вне кластера Kubernetes. Количество целевых устройств для сервисов KUMA может отличаться.
• KATA с KEDR. Kaspersky Anti-Targeted Attack Platform с функциональным блоком Kaspersky Endpoint Detection and Response. Подробную информацию о сценариях развертывания KATA см. в документации KATA.
• Устройство пользователя с Kaspersky SMP. Пользовательское устройство, которое используется для входа в Консоль Kaspersky SMP или Консоль KUMA.
• Подчиненные Серверы администрирования (необязательно). Подчиненные Серверы администрирования используются для создания иерархии Серверов.
• Управляемые устройства. Клиентские устройства защищены Kaspersky SMP. На каждом управляемом устройстве установлен Агент администрирования.

Порты

Схема не предоставляет все порты, необходимые для успешного развертывания. Полный список портов приведен в разделе Порты, используемые Kaspersky SMP.

Условные обозначения схемы:

На схеме не показано взаимодействие внутри кластера Kubernetes между узлами и между компонентами Kaspersky SMP. Подробнее см. в разделе Порты, используемые Kaspersky SMP.

Список портов, которые необходимо открыть на управляемых устройствах, приведен в разделе Порты, используемые Kaspersky SMP.

Подробнее об интеграции с KATA, включая функциональный блок KEDR, см. в разделе Интеграция с KATA/KEDR.

На схеме сервисы KUMA развернуты по схеме распределенного развертывания. Количество целевых устройств для сервисов KUMA может отличаться. Список открываемых портов зависит от выбранной схемы развертывания. Полный список портов приведен в разделе Порты, используемые Kaspersky SMP.

TCP-порт 7221 и другие порты для установки служб. Вы указываете эти порты как значение для --api.point <port>.

[Topic 271071]

Схема развертывания: развертывание на одном узле

Существует несколько вариантов развертывания Kaspersky SMP. Прежде чем начать, убедитесь, что вы знакомы с различными схемами развертывания, и выберите ту, которая лучше всего соответствует требованиям вашей организации.

В этом разделе приводится описание схемы развертывания на одном узле.

Схема развертывания Kaspersky SMP на одном узле

Схема развертывания Kaspersky SMP на одном узле включает следующие основные компоненты:

• Устройство администратора. На этом устройстве администратор использует Kaspersky Deployment Toolkit для развертывания и управления кластером Kubernetes и Kaspersky SMP. Устройство администратора не входит в кластер Kubernetes.
• Кластер Kubernetes. Кластер Kubernetes включает в себя устройство, которое действует как узел контроллера (далее также первичный узел во время процедуры развертывания) и как рабочий узел.
• Сервер СУБД. Для корректной работы компонентов Kaspersky SMP необходим сервер с установленной системой управления базами данных. Для установки СУБД администратор использует Kaspersky Deployment Toolkit.
• Устройства с сервисами KUMA. Сервисы KUMA (коллекторы, корреляторы и хранилища) устанавливаются на устройства, расположенные вне кластера Kubernetes. Количество целевых устройств для сервисов KUMA может отличаться.
• KATA с KEDR. Kaspersky Anti-Targeted Attack Platform с функциональным блоком Kaspersky Endpoint Detection and Response. Подробную информацию о сценариях развертывания KATA см. в документации KATA.
• Устройство пользователя с Kaspersky SMP. Пользовательское устройство, которое используется для входа в Консоль Kaspersky SMP или Консоль KUMA.
• Подчиненные Серверы администрирования (необязательно). Подчиненные Серверы администрирования используются для создания иерархии Серверов.
• Управляемые устройства. Клиентские устройства защищены Kaspersky SMP. На каждом управляемом устройстве установлен Агент администрирования.

Порты

Схема не предоставляет все порты, необходимые для успешного развертывания. Полный список портов приведен в разделе Порты, используемые Kaspersky SMP.

Условные обозначения схемы:

Список портов, которые необходимо открыть на управляемых устройствах, приведен в разделе Порты, используемые Kaspersky SMP.

Подробнее об интеграции с KATA, включая функциональный блок KEDR, см. в разделе Интеграция с KATA/KEDR.

На схеме сервисы KUMA развернуты по схеме распределенного развертывания. Количество целевых устройств для сервисов KUMA может отличаться. Список открываемых портов зависит от выбранной схемы развертывания. Полный список портов приведен в разделе Порты, используемые Kaspersky SMP.

TCP-порт 7221 и другие порты для установки служб. Вы указываете эти порты как значение для --api.point <port>.

[Topic 265794]

Порты, используемые Kaspersky SMP

Для правильного взаимодействия между устройством администратора и целевыми устройствами вам нужно предоставить доступ к соединению между устройством администратора и целевыми устройствами через порты, перечисленные в таблице ниже. Эти порты невозможно изменить.

Для взаимодействия между устройством администратора и устройствами, которые используются для установки сервисов KUMA и находятся вне кластера Kubernetes, доступ предоставляется только по TCP-порту 22.

Порты, используемые для взаимодействия между устройством администратора и целевыми устройствами

Для корректной работы компонентов Kaspersky SMP целевые устройства должны находиться в одном широковещательном домене.

В таблице ниже указаны порты, которые должны быть открыты на сетевых экранах всех целевых устройств кластера. Эти порты невозможно изменить.

Если вы используете сетевой экран или сетевой экран UFW на целевых устройствах, KDT автоматически откроет требуемые порты на сетевых экранах. Или вы можете вручную открыть перечисленные порты перед развертыванием Kaspersky SMP.

Обязательные порты, используемые компонентами Kaspersky SMP

В таблице ниже указаны порты, которые по умолчанию не открываются на сетевых экранах при развертывании Kaspersky SMP. Эти порты невозможно изменить.

Если вам нужно выполнить действия, перечисленные в столбце Назначение порта в таблице ниже, вы можете открыть соответствующие порты на сетевых экранах всех целевых устройств вручную.

Необязательные порты на сетевом экране, используемые компонентами Kaspersky SMP

В таблице ниже указаны порты, которые необходимо открыть для работы кластера Kubernetes и компонентов инфраструктуры. Эти порты невозможно изменить.

Если вы используете сетевой экран или сетевой экран UFW на целевых устройствах, KDT автоматически откроет требуемые порты на сетевых экранах. Или вы можете вручную открыть перечисленные порты перед развертыванием Kaspersky SMP.

Порты, используемые кластером Kubernetes и компонентами инфраструктуры

Для корректной работы сервисов KUMA, не входящих в кластер Kubernetes, вам нужно открыть порты, указанные в таблице ниже. В таблице ниже показаны значения сетевых портов по умолчанию. Эти порты автоматически открываются во время установки KUMA.

Порты, используемые для взаимодействия с внешними сервисами KUMA