Проверка настройки Open Single Management Platform

Вы можете использовать тестовый "вирус" EICAR на одном из активов, чтобы убедиться, что Open Single Management Platform правильно развернут и настроен. Если первоначальная настройка была выполнена правильно и были настроены необходимые правила корреляции, соответствующее событие вызовет создание алерта в списке алертов.

Чтобы проверить настройку Open Single Management Platform:

  1. Создайте коррелятор в Консоли KUMA.

    При создании коррелятора не указывайте параметры в разделе Корреляция.

  2. Импортируйте правила корреляции из пакета SOC Content, чтобы получить предустановленные правила корреляции, используемые для обнаружения тестового "вируса" EICAR.
  3. Укажите правило корреляции для созданного коррелятора.

    Вы можете указать правило корреляции одним из следующих способов:

    • Свяжите предустановленное правило корреляции с созданным коррелятором:
      1. Перейдите в раздел Ресурсы, нажмите на Правила корреляции и выберите тенант, к которому будет применяться правило корреляции.
      2. В списке предустановленных правил корреляции выберите правило R077_02_KSC.Malware detected, чтобы обнаруживать события Kaspersky Security Center.
      3. Нажмите на Связать с коррелятором и выберите созданный коррелятор, чтобы связать выбранное правило корреляции с коррелятором.
    • Создайте правило корреляции с предустановленными фильтрами вручную:
      1. Откройте параметры созданного коррелятора, перейдите в раздел Корреляция и нажмите на кнопку Добавить.
      2. В окне Создание правила корреляции на вкладке Общие задайте следующие параметры, так же как и другие параметры:
        • Вид: простой.
        • Наследуемые поля: DestinationAddress, DestinationHostName, DestinationAccountID, DestinationAssetID, DestinationNtDomain, DestinationProcessName, DestinationUserName, DestinationUserID, SourceAccountID, SourceUserName.
      3. Перейдите в раздел СелекторыПараметры и укажите выражение для фильтрации необходимых событий:
        • В режиме конструктора добавьте фильтры событий KSC, Обнаружен вирус приложением KSC и Базовые события с помощью оператора AND.
        • Также вы можете указать это выражение в режиме исходного кода следующим образом:

          filter='b308fc22-fa79-4324-8fc6-291d94ef2999'

          AND filter='a1bf2e45-75f4-45c1-920d-55f5e1b8843f'

          AND filter='1ffa756c-e8d9-466a-a44b-ed8007ca80ca'

      4. В разделе Действия в параметрах правила корреляции установите только флажок Вывод (флажки Цикл для коррелятора и Нет алертов должны быть сняты). В этом случае при обнаружении тестового "вируса" EICAR будет создано событие корреляции и в списке алертов Open Single Management Platform будет создан алерт.
      5. Нажмите на кнопку Создать сейчас, чтобы сохранить параметры правила корреляции, связанные с коррелятором.
  4. Создайте и настройте в Консоли KUMA коллектор для получения информации о событиях Сервера администрирования из базы данных MS SQL.

    Также вы можете использовать предустановленный коллектор [OOTB] KSC SQL.

  5. В разделе параметров коллектора Маршрутизация установите Тип коррелятора и укажите созданный коррелятор в поле URL, чтобы пересылать ему обработанные события.
  6. Установите Агент администрирования и приложение защиты конечных точек (например, Kaspersky Endpoint Security) на актив в сети вашей организации. Убедитесь, что актив подключен к Серверу администрирования.
  7. Поместите тестовый файл EICAR на актив, а затем обнаружьте тестовый "вирус" с помощью приложения защиты конечных точек.

После этого Сервер администрирования получит уведомление о событии на активе. Это событие будет перенаправлено в компонент KUMA, преобразовано в событие корреляции, после чего в Open Single Management Platform будет создан алерт в списке алертов. Если алерт создан, значит Open Single Management Platform работает правильно.

В начало