[Topic 294796]

Kaspersky Symphony XDR

Kaspersky Symphony XDR – это комплексное решение для кибербезопасности бизнеса, которое включает в себя приложения "Лаборатории Касперского", с помощью которых организация получает возможность защититься от большинства киберрисков и покрыть основные сценарии распространения угроз. Компоненты Kaspersky Symphony XDR развернуты на единой платформе управления Open Single Management Platform. Платформа обеспечивает выполнение кросс-программных сценариев в рамках единого интерфейса и позволяет интегрировать приложения "Лаборатории Касперского" и приложения сторонних производителей в единую систему безопасности.

Один из центральных элементов решения – SIEM-система – позволяет отслеживать события, полученные от всех компонентов, и выполняет взаимную корреляцию этих событий с помощью готовых и пользовательских правил. На основании журналов и телеметрии, полученных от инфраструктуры организации, Kaspersky Symphony XDR автоматически выявляет атаки и позволяет проводить расследование инцидентов с помощью единого графа расследования, который комбинирует все собираемые в Kaspersky Symphony XDR события – как от приложений "Лаборатории Касперского", так и от сторонних ИБ-продуктов.

Для реагирования на сложные инциденты Kaspersky Symphony XDR использует предустановленные и пользовательские сценарии. Также доступны действия по реагированию от приложений сторонних производителей и сценарии реагирования, в которых задействовано несколько приложений.

В решение включена базовая защита конечных точек, которая позволяет блокировать атаки, направленные на инфраструктуру конечных устройств (как физических, так и виртуальных). Также компоненты Kaspersky Symphony XDR обеспечивают специализированную защиту HTTP-, HTTPS- и FTP-трафика, проходящего через прокси-сервер, защиту почтовых серверов, входящей и исходящей почты от вредоносных объектов, спама и фишинга.

Решение позволяет централизованно устанавливать приложения безопасности "Лаборатории Касперского" на устройства инфраструктуры, удаленно запускать задачи проверки и обновления, а также настраивать политики безопасности управляемых приложений. В панели мониторинга отображается актуальное состояние системы безопасности, подробные отчеты и детальные параметры политик.

Kaspersky Symphony XDR позволяет компаниям соответствовать требованиям регуляторов (например, в сфере безопасности объектов КИИ) благодаря встроенному модулю ГосСОПКА.

Компоненты решения Kaspersky Symphony XDR

[Topic 5022]

Быстрые ссылки

Новые функции

• Что нового в Open Single Management Platform

Ключевые функции

• Управление алертами и инцидентами безопасности
• Инструменты Поиска угроз
• Граф расследования
• Предопределенные и пользовательские плейбуки
• Ручное реагирование на обнаруженные угрозы
• Панель мониторинга и веб-виджеты

Совместимость и аппаратные и программные требования

• Аппаратные и программные требования
• Совместимые приложения и решения
• Интеграция с другими решениями и системами сторонних производителей

Начало работы

• Пошаговый сценарий развертывания, активации и первоначальной настройки Open Single Management Platform
• Развертывание Open Single Management Platform
• Перенос данных в Open Single Management Platform
• Использование функций мониторинга, обнаружения и поиска угроз
• Пример расследования инцидента с помощью Open Single Management Platform

Работа с Open Single Management Platform

• Установка приложений безопасности "Лаборатории Касперского" на устройства в корпоративной сети
• Удаленный запуск задач поиска вредоносного ПО и обновления
• Управление политиками безопасности управляемых приложений

[Topic 271062]

Что нового

Open Single Management Platform 1.2

В Open Single Management Platform реализовано несколько новых функций и улучшений:

• В приложении используется обновленная версия Bootstrap. Прежде чем установить новую версию Open Single Management Platform, обновите Bootstrap, выполнив следующую команду:

  ./kdt apply -k <путь_к_обновлениям_XDR-архива> -i <путь_к_конфигурационному_файлу> --force-bootstrap

• Гибкий рабочий процесс инцидентов. Вы можете настроить рабочий процесс инцидента и просмотреть его в визуальном редакторе.
• Теперь вы можете прикреплять файлы к алертами или инцидентам. При необходимости вы можете удалить или скачать прикрепленные файлы.
• Настраиваемый процесс обработки инцидентов с использованием типов инцидентов.
• Обновление Open Single Management Platform с версии 1.1 до версии 1.2.
• При создании плейбука вы можете настроить алгоритм плейбука для изменения свойств инцидента или свойств алерта.
• Вы можете экспортировать информацию обо всех инцидентах, которые отображаются в таблице инцидентов, в файл JSON. Это может потребоваться, когда вам нужно будет предоставить эту информацию третьим сторонам.
• Оптимизировано развертывание Open Single Management Platform: улучшен конфигурационный файл и мастер развертывания для упрощенной настройки параметров установки.
• AI-оценка активов. Механизм на основе машинного обучения помогает вам оценивать процессы, выполняемые на активе, и определять, является ли конкретный процесс нормальным или необычным и требует внимания аналитика SOC.
• Улучшен процесс настройки шаблонов для отправки уведомлений по электронной почте о событиях, происходящих в Open Single Management Platform.
• Вы можете уменьшать или увеличивать период хранения алертов и инцидентов в зависимости от ваших требований. По умолчанию период хранения алертов и инцидентов составляет 360 дней.
• Удаление Open Single Management Platform и всех созданных данных.
• Из контекстного меню окна деталей алерта или инцидента теперь можно открыть страницу Поиск угроз в новой вкладке браузера.
• В окне деталей алерта или в инцидента теперь можно выполнять поиск по затронутым активам и наблюдаемым объектам.
• Возможность настройки правил агрегации алертов с помощью REST API.
• При открытии страницы Поиск угроз из окна деталей алерта или окна деталей инцидента поиск теперь выполняется за период между первым и последним событием алерта или инцидента, а не за последние 24 часа.
• Предварительные проверки перед развертыванием. Перед развертыванием Open Single Management Platform теперь вы можете проверить, выполняются ли аппаратные и программные требования. Kaspersky Deployment Toolkit (KDT) проверяет ваше оборудование, операционную систему, программное обеспечение и сетевую среду. Если хотя бы одно требование не выполнено, KDT прерывает развертывание и предоставляет вам подробный отчет.
• Решение Open Single Management Platform теперь может быть установлено на платформе виртуализации Nutanix AHV.
• Оптимизация Консоли OSMP: окна Консоли, страница входа и Панель мониторинга теперь загружаются быстрее.
• Теперь вы можете переключаться из окна деталей инцидента на события, связанные с инцидентом, на странице Поиск угроз.
• Open Single Management Platform теперь поддерживает следующие EPP-программы:
  • Kaspersky Endpoint Security для Windows, версии 12.5, 12.6, 12.7.
  • Kaspersky Endpoint Security 12.1 для Linux.
  • Kaspersky Endpoint Security 12.1 для Mac.
  • Kaspersky Industrial CyberSecurity for Nodes 4.0.
  • Kaspersky Endpoint Agent 4.0.
• Open Single Management Platform теперь совместим с Kaspersky Anti Targeted Attack Platform 7.0.
• Теперь вы можете обновить информацию в окне деталей алерта и окне деталей инцидента, нажав на значок обновления.
• В окнах деталей алерта и инцидента в таблицу с устройствами добавлен атрибут КИИ.
• Добавлено ручное обновление данных в окнах деталей алерта, инцидента, инцидента НКЦКИ.

Open Single Management Platform 1.1

В Open Single Management Platform реализовано несколько новых функций и улучшений:

• В приложении используется обновленная версия Bootstrap. Прежде чем установить новую версию Open Single Management Platform, обновите Bootstrap, выполнив следующую команду:

  ./kdt apply -k <путь_к_обновлениям_XDR-архива> -i <путь_к_конфигурационному_файлу> --force-bootstrap

• Реализован новый дизайн пользовательского интерфейса.
• Снижены требования к аппаратному и программному обеспечению.
• Повышена стабильность работы приложения.
• Реализован мастер развертывания для упрощенной настройки параметров установки.
• Добавлены предустановленные плейбуки.
• Open Single Management Platform теперь поддерживает следующие EPP-программы:
  • Kaspersky Endpoint Security 12.0 для Mac
  • Kaspersky Industrial CyberSecurity for Nodes 3.2
  • Kaspersky Endpoint Agent 3.16
• Реализованы новые веб-виджеты в Панели мониторинга для контроля действий по реагированию с помощью плейбуков.
• Перенос данных из KUMA или Kaspersky Security Center в Open Single Management Platform, включая перенос пользователей и тенантов, а также привязку тенантов к Серверам администрирования Kaspersky Security Center.
• Open Single Management Platform теперь совместим с Kaspersky Anti Targeted Attack Platform 6.0.
• Поддержка модели статусов инцидентов, совместимой с ГОСТ.
• Поддержка совместимости с новой версией swagger-контракта НКЦКИ.
• Термин "обнаружение" заменен на термин "алерт".

[Topic 247185]

Об Open Single Management Platform

Open Single Management Platform – это надежное решение для кибербезопасности, которое защищает вашу корпоративную ИТ-инфраструктуру от сложных киберугроз, в том числе тех, которые не могут быть обнаружены EPP-программами, установленными на корпоративных активах. Решение обеспечивает полную видимость, корреляцию и автоматизацию, используя широкий спектр инструментов реагирования и источников данных, включая активы конечных точек, данные сети и облачного окружения. Чтобы эффективно защитить вашу ИТ-инфраструктуру, Open Single Management Platform анализирует данные из этих источников для выявления угроз, создает алерты о потенциальных инцидентах и предоставляет инструменты для реагирования на них. Open Single Management Platform обладает расширенными аналитическими возможностями и богатым опытом в области безопасности.

Это решение обеспечивает единый процесс обнаружения и реагирования с помощью интегрированных компонентов и целостных сценариев в едином интерфейсе для повышения эффективности специалистов по безопасности.

Средства обнаружения включают:

• Инструменты поиска угроз для автоматического поиска угроз и уязвимостей путем анализа событий.
• Расширенное обнаружение угроз и взаимная корреляция: корреляция событий из разных источников в режиме реального времени, более 350 готовых правил корреляции для разных сценариев с матричным отображением MITRE ATT&CK, возможность создавать правила и настраивать существующие, ретроспективное сканирование для обнаружения уязвимостей нулевого дня.
• Граф расследования для визуализации и облегчения расследования инцидента и определения первопричин алерта.
• Использование Kaspersky Threat Intelligence Portal для получения последней подробной информации об угрозах, касающейся веб-адресов, доменов, IP-адресов, хешей файлов, статистических и поведенческих данных, и данных WHOIS и данных DNS.

Инструменты действий по реагированию включают:

• Действия по реагированию, выполняемые вручную: изоляция активов, запуск команд, создание правил запрета, запуск задач на активе, пополнение репутации Kaspersky Threat Intelligence Portal и обучающие задания для пользователей.
• Плейбуки как предустановленные, так и созданные пользователем, для автоматизации типичных действий по реагированию.
• Действия по реагированию приложений сторонних производителей и сценарии реагирования, в которых задействовано несколько приложений.

Open Single Management Platform также использует компонент для управления активами и централизованного выполнения задач по администрированию и обслуживанию:

• Развертывание приложений "Лаборатории Касперского" на активах в корпоративной сети.
• Удаленный запуск задач поиска вредоносного ПО и обновления.
• Получение подробной информации о защите активов.
• Настройка всех компонентов безопасности с помощью приложений "Лаборатории Касперского".

Open Single Management Platform поддерживает иерархию тенантов.

Open Single Management Platform интегрирован с Active Directory, включает API-интерфейсы и поддерживает широкий спектр интеграций как с приложениями "Лаборатории Касперского", так и с решениями сторонних производителей для получения данных и реагирования на них. Информацию о приложениях и решениях, которые поддерживает OSMP, см. в разделах Совместимые приложения "Лаборатории Касперского" и Интеграция с другими решениями.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN могут быть недоступны в приложении на территории США.

[Topic 247187]

Аппаратные и программные требования

В статье описаны аппаратные требования к схеме развертывания на одном узле и к схеме развертывания на нескольких узлах, программные требования Open Single Management Platform, аппаратные и программные требования Kaspersky Deployment Toolkit и компонентов OSMP.

Общие требования и рекомендации

Если вы используете виртуализацию, требуется выделить 100% vCPU сервера.

Для сетей, превышающих 40 000 устройств, используйте подчиненные Серверы администрирования.

Убедитесь, что DNS-сервер в сети.

Развертывание на одном узле не может быть обновлено до развертывания на нескольких узлах. Установка на нескольких узлах должна быть предпочтительной, если ожидается рост сети.

Эффективное устройство и расчет количества событий в секунду (EPS)

Требования к оборудованию могут изменяться в зависимости от операционной системы конечных устройств. Используйте следующую формулу для оценки эффективных устройств в вашей сети:

<количество устройств> = <конечные точки с операционной системой Windows> + 3* <конечные точки с операционной системой Linux и macOS> + 20 * <серверы>

Ожидается, что эффективное устройство будет вносить вклад в 0,5 EPS (событий в секунду) с параметрами по умолчанию. Общие количество событий в секунду (EPS) рассчитывается по следующей формуле:

<общее EPS> = <EPS от эффективных устройств> + <EPS от сторонних устройств>

Вы можете преобразовать общее EPS в эффективные устройства, используя следующую формулу:

<общее количество эффективных устройств> = <общее EPS> / 0,5

Развертывание на одном узле: аппаратные требования

Развертывание на одном узле требует меньше ресурсов (см. таблицу ниже), но следует учесть:

• Схема с одним узлом поддерживает только до 10 000 устройств в сети.
• База данных расположена на первичном рабочем узле за пределами кластера.

  При развертывании на одном узле рекомендуется сначала вручную установить СУБД на устройстве, которое будет выполнять роль первичного узла. После этого вы можете установить Open Single Management Platform на том же устройстве.

• Для KATA/KEDR требуются дополнительные узлы.
• Для корректного развертывания решения убедитесь, что процессор целевого устройства поддерживает набор инструкций BMI, AVX и SSE 4.2.

  Минимальные аппаратные требования

  Аппаратные требования для развертывания на одном узле

  Решение	250 устройств	1000 устройств	3000 устройств	5000 устройств	10 000 устройств
  Решение, включающее в себя следующие приложения: Open Single Management Platform Kaspersky Unified Monitoring and Analysis Platform Kaspersky Anti Targeted Attack Platform / Kaspersky Endpoint Detection and Response Central Node Обратите внимание, что требования не учитывают устройства для сервисов KEDR.	1 первичный узел XDR: Процессор: 6 ядер, частота от 2,5 ГГц. Оперативная память: 27 ГБ. Объем свободного места на диске: 360 ГБ. 1 узел сервиса KUMA: Процессор: 10 ядер. Оперативная память: 16 ГБ. Объем дискового пространства: 500 ГБ.	1 первичный рабочий узел XDR: Процессор: 8 ядер, частота от 2,5 ГГц. Оперативная память: 32 ГБ. Объем свободного места на диске: 400 ГБ. 1 узел сервиса KUMA: Процессор: 10 ядер. Оперативная память: 16 ГБ. Объем дискового пространства: 600 ГБ.	1 первичный рабочий узел XDR: Процессор: 11 ядер, частота от 2,5 ГГц. Оперативная память: 38 ГБ. Объем свободного места на диске: 600 ГБ. 1 узел сервиса KUMA: Процессор: 10 ядер. Оперативная память: 16 ГБ. Объем дискового пространства: 1000 ГБ.	1 первичный рабочий узел XDR: Процессор: 15 ядер, частота от 2,5 ГГц. Оперативная память: 46 ГБ. Объем свободного места на диске: 740 ГБ. 1 узел сервиса KUMA: Процессор: 10 ядер. Оперативная память: 16 ГБ. Объем дискового пространства: 1400 ГБ.	1 первичный рабочий узел XDR: Процессор: 18 ядер, частота от 2,5 ГГц. Оперативная память: 57 ГБ. Объем свободного места на диске: 1500 ГБ. 1 узел сервиса KUMA: Процессор: 10 ядер. Оперативная память: 16 ГБ. Объем дискового пространства: 2400 ГБ.

Развертывание на нескольких узлах: аппаратные требования

Развертывание на нескольких узлах требует больше ресурсов (см. таблицу ниже). Для этой схемы следует учесть:

• Схема кластера с несколькими узлами рекомендуется для сетей с количеством устройств более 10 000.
• База данных расположена на отдельном устройстве за пределами кластера.
• Для корректного развертывания решения убедитесь, что процессоры целевых устройств поддерживают набор инструкций BMI/AVX.

  Минимальные аппаратные требования

  Аппаратные требования для развертывания на нескольких узлах

  Решение	20 000 устройств	30 000 устройств	50 000 устройств
  Решение, включающее в себя следующие приложения: Open Single Management Platform Kaspersky Unified Monitoring and Analysis Platform Kaspersky Anti Targeted Attack Platform / Kaspersky Endpoint Detection and Response Central Node Обратите внимание, что требования не учитывают устройства для сервисов KEDR.	12 узлов: 1 первичный узел XDR 3 рабочих узла XDR 1 узел базы данных XDR 1 коллектор KUMA 1 коррелятор KUMA 3 кипера KUMA 2 хранилища KUMA	12 узлов: 1 первичный узел XDR 3 рабочих узла XDR 1 узел базы данных XDR 1 коллектор KUMA 1 коррелятор KUMA 3 кипера KUMA 2 хранилища KUMA	12 узлов: 1 первичный узел XDR 3 рабочих узла XDR 1 узел базы данных XDR 1 коллектор KUMA 1 коррелятор KUMA 3 кипера KUMA 2 хранилища KUMA
  	1 первичный узел XDR: Процессор: 4 ядра. Оперативная память: 8 ГБ. Объем свободного места на диске: 500 ГБ. 3 рабочих узла XDR: Процессор: 8 ядер. Оперативная память: 20 ГБ. Объем свободного места на диске: 1 ТБ. 1 узел базы данных XDR: Процессор: 10 ядер. Оперативная память: 21 ГБ. Объем свободного места на диске: 1.6 ТБ. 1 узел с коллектором KUMA: Процессор: 8 ядер. Оперативная память: 16 ГБ. Объем свободного места на диске: 500 ГБ. 1 узел с коррелятором KUMA: Процессор: 8 ядер. Оперативная память: 32 ГБ. Объем свободного места на диске: 500 ГБ. 3 узла с кипером KUMA: Процессор: 6 ядер. Оперативная память: 12 ГБ. Объем свободного места на диске: 150 ГБ. 2 узла с хранилищами KUMA: Процессор: 24 ядра. Оперативная память: 64 ГБ. Объем свободного места на диске SSD: 4,7 ТБ.	1 первичный узел XDR: Процессор: 4 ядра. Оперативная память: 8 ГБ. Объем свободного места на диске: 500 ГБ. 3 рабочих узла XDR: Процессор: 10 ядер. Оперативная память: 24 ГБ. Объем свободного места на диске: 1 ТБ. 1 узел базы данных XDR: Процессор: 12 ядер. Оперативная память: 24 ГБ. Объем свободного места на диске: 2.7 ТБ. 1 узел с коллектором KUMA: Процессор: 8 ядер. Оперативная память: 16 ГБ. Объем свободного места на диске: 500 ГБ. 1 узел с коррелятором KUMA: Процессор: 8 ядер. Оперативная память: 32 ГБ. Объем свободного места на диске: 500 ГБ. 3 узла с кипером KUMA: Процессор: 6 ядер. Оперативная память: 12 ГБ. Объем свободного места на диске: 150 ГБ. 2 узла с хранилищами KUMA: Процессор: 24 ядра. Оперативная память: 64 ГБ. Объем свободного места на диске SSD: 7 ТБ.	1 первичный узел XDR: Процессор: 4 ядра. Оперативная память: 8 ГБ. Объем свободного места на диске: 500 ГБ. 3 рабочих узла XDR: Процессор: 12 ядер. Оперативная память: 28 ГБ. Объем свободного места на диске: 1 ТБ. 1 узел базы данных XDR: Процессор: 16 ядер. Оперативная память: 32 ГБ. Объем свободного места на диске: 4.3 ТБ. 1 узел с коллектором KUMA: Процессор: 8 ядер. Оперативная память: 16 ГБ. Объем свободного места на диске: 500 ГБ. 1 узел с коррелятором KUMA: Процессор: 8 ядер. Оперативная память: 32 ГБ. Объем свободного места на диске: 500 ГБ. 3 узла с кипером KUMA: Процессор: 6 ядер. Оперативная память: 12 ГБ. Объем свободного места на диске: 150 ГБ. 2 узла с хранилищами KUMA: Процессор: 24 ядра. Оперативная память: 64 ГБ. Объем свободного места на диске SSD: 12 ТБ.

Open Single Management Platform: программные требования

Требования к программному обеспечению и поддерживаемым системам и платформам

Поддерживаются высокодоступные кластеры PostgreSQL. Роль Postgres, используемая Сервером для доступа к СУБД, должна иметь права на чтение следующих представлений (по умолчанию права назначены):

• pg_stat_replication
• pg_stat_wal_receiver

Kaspersky Deployment Toolkit

Все компоненты Open Single Management Platform устанавливаются с помощью Kaspersky Deployment Toolkit.

Kaspersky Deployment Toolkit имеет следующие аппаратные и программные требования:

Компоненты Open Single Management Platform

Чтобы просмотреть аппаратные и программные требования для компонента Open Single Management Platform, нажмите на его название:

• Консоль OSMP
• Kaspersky Unified Monitoring and Analysis Platform (далее также KUMA)
• Подчиненные Серверы администрирования Kaspersky Security Center
• Агент администрирования Kaspersky Security Center
• Kaspersky Endpoint Security для Windows
• Kaspersky Anti Targeted Attack Platform (далее также KATA)
• Kaspersky Industrial CyberSecurity for Networks
• Kaspersky Industrial CyberSecurity for Nodes
• Kaspersky CyberTrace
• Kaspersky Threat Intelligence Portal
• Kaspersky Automated Security Awareness Platform (далее также KASAP)

[Topic 265299]

Требования к устройствам с сервисами KUMA

Сервисы KUMA (коллекторы, корреляторы и хранилища) устанавливаются на устройствах, находящихся за пределами кластера Kubernetes. Аппаратные и программные требования для этих устройств описаны в этой статье.

Рекомендованные аппаратные и программные требования

В этом разделе перечислены аппаратные и программные требования для обработки потока данных до 40 000 событий в секунду (EPS). Значение нагрузки KUMA зависит от типа анализируемых событий и эффективности нормализатора.

Для повышения эффективности обработки событий количество ядер процессора важнее тактовой чистоты. Например, 8 ядер процессора со средней тактовой частотой могут обрабатывать события эффективнее, чем 4 ядра процессора с высокой тактовой частотой. В таблице ниже перечислены аппаратные и программные требования компонентов KUMA.

Объем оперативной памяти, используемой коллектором, зависит от настроенных способов обогащения (DNS, учетные записи, активы, обогащение данными из Kaspersky CyberTrace) и от того, используется ли агрегирование. На потребление оперативной памяти влияют параметры окна агрегации данных, количество полей, используемых для агрегации данных, объем данных в агрегируемых полях.

Например, с потоком событий 1000 EPS и отключенным обогащением событий (обогащение событий отключено, агрегация событий отключена, 5000 учетных записей, 5000 активов на одного тенанта) одному коллектору требуются следующие ресурсы:

• 1 процессорное ядро или 1 виртуальный процессор;
• 512 МБ оперативной памяти;
• 1 ГБ дискового пространства (без учета кеша событий).

Например, для 5 коллекторов, которые не выполняют обогащение событий, потребуется выделить следующие ресурсы: 5 процессорных ядер, 2,5 ГБ оперативной памяти и 5 ГБ свободного дискового пространства.

Рекомендуемые аппаратные и программные требования для установки сервисов KUMA

Установка KUMA поддерживается в следующих виртуальных средах:

• VMware 6.5 и выше.
• Hyper-V for Windows Server 2012 R2 и выше.
• QEMU-KVM 4.2 и выше.
• Программный комплекс средств виртуализации "Брест" РДЦП.10001-02.

Рекомендации "Лаборатории Касперского" для серверов хранения

Для серверов хранения данных специалисты "Лаборатории Касперского" рекомендуют следующее:

• Ставьте ClickHouse на твердотельные накопители (SSD). Твердотельные накопители помогают повысить скорость доступа к данным. Жесткие диски можно использовать для хранения данных с помощью технологии HDFS.
• Чтобы подключить систему хранения данных к серверам хранения, используйте высокоскоростные протоколы, такие как Fibre Channel или iSCSI 10G. Не рекомендуется использовать протоколы уровня приложений, например NFS и SMB, для подключения систем хранения данных.
• Используйте файловую систему ext4 на кластерных серверах ClickHouse.
• Если вы используете RAID-массивы, используйте RAID 0 для высокой производительности или RAID 10 для высокой производительности и отказоустойчивости.
• Для обеспечения отказоустойчивости и производительности подсистемы хранения данных, убедитесь, что узлы ClickHouse разворачиваются строго на разных дисковых массивах.
• Если вы используете виртуализированную инфраструктуру для размещения компонентов системы, разворачивайте узлы кластера ClickHouse на разных гипервизорах. В этом случае необходимо запретить двум виртуальным машинам с ClickHouse работать с одним гипервизором.
• Для высоконагруженных установок KUMA установите ClickHouse на физических серверах.

Требования к устройствам для установки агентов

Чтобы отправлять данные в коллектор KUMA, вам нужно установить агенты на устройствах сетевой инфраструктуры. Требования к аппаратному и программному обеспечению перечислены в таблице ниже.

Рекомендуемые аппаратные и программные требования для установки агентов

Требования к операционной системе

Требования к операционной системе, перечисленные в таблице ниже.

Требования к установке операционной системы

[Topic 255792]

Требования к Консоли OSMP

Сервер OSMP

Требования к оборудованию и программному обеспечению см. в требованиях к рабочему узлу.

Клиентские устройства

Клиентскому устройству для работы с Консолью OSMP требуется только браузер.

Минимальное разрешение экрана составляет 1366x768 пикселей.

Требования к аппаратному и программному обеспечению устройства совпадают с требованиями к браузеру, который используется для работы с Консолью OSMP.

Браузеры:

• Google Chrome 100.0.4896.88 или более поздняя версия (официальная сборка).
• Microsoft Edge 100 или более поздняя версия.
• Safari 15 для macOS.
• Яндекс Браузер 23.5.0.2271 и выше.
• Mozilla Firefox Extended Support Release 102.0 или выше.

[Topic 255797]

Требования к Агенту администрирования

Минимальные аппаратные требования:

• Процессор с частотой 1 ГГц или выше. При работе с 64-разрядной операционной системой минимальная частота процессора – 1.4 ГГц.
• Оперативная память: 512 МБ.
• Объем свободного места на диске: 1 ГБ.

Требования к программному обеспечению для устройств с операционной системой Linux: должен быть установлен интерпретатор языка Perl версии 5.10 и выше.

Агент администрирования. Поддерживаемые платформы

На устройствах под управлением Windows 10 версии RS4 или RS5 Kaspersky Security Center может не обнаруживать некоторые уязвимости в папках, в которых включен учет регистра.

Перед установкой Агента администрирования на устройства под управлением Windows 7, Windows Server 2008, Windows Server 2008 R2 или Windows MultiPoint Server 2011 убедитесь, что вы установили обновление безопасности KB3063858 для ОС Windows (Обновление безопасности для Windows 7 (KB3063858), Обновление безопасности для Windows 7 для систем на базе x64 (KB3063858), Обновление безопасности для Windows Server 2008 (KB3063858), Обновление безопасности для Windows Server 2008 x64 Edition (KB3063858), Обновление безопасности для Windows Server 2008 R2 x64 Edition (KB3063858).

В Microsoft Windows XP Агент администрирования может не выполнять некоторые операции правильно.

Вы можете установить или обновить Агент администрирования для Windows XP только в Microsoft Windows XP. Поддерживаемые редакции Microsoft Windows XP и соответствующие им версии Агента администрирования указаны в списке поддерживаемых операционных систем. Вы можете скачать необходимую версию Агента администрирования для Microsoft Windows XP с этой страницы.

Рекомендуется устанавливать ту же версию Агента администрирования для Linux, что и Open Single Management Platform.

Open Single Management Platform полностью поддерживает Агент администрирования той же или выше.

Агент администрирования для macOS поставляется вместе с приложением безопасности "Лаборатории Касперского" для этой операционной системы.

[Topic 92569]

Требования для точки распространения

Аппаратные и программные требования для точек распространения под управлением Windows и Linux описаны в этой статье.

При наличии на Сервере администрирования задач удаленной установки, на устройстве с точкой распространения дополнительно потребуется дисковое пространство, равное суммарному размеру устанавливаемых инсталляционных пакетов.

При наличии на Сервере администрирования одного или нескольких экземпляров задачи установки обновлений (патчей) и закрытия уязвимостей на устройстве с точкой распространения дополнительно потребуется дисковое пространство, равное удвоенному суммарному размеру всех устанавливаемых патчей.

Если вы используете схему, по которой точки распространения получают обновления баз и модулей приложений напрямую с серверов обновлений "Лаборатории Касперского", точки распространения должны быть подключены к сети интернет.

Не рекомендуется назначать Сервер администрирования в качестве точки распространения, так как это увеличит нагрузку на Сервер администрирования.

Аппаратные требования для точек распространения под управлением Windows

Минимальные аппаратные требования для точек распространения под управлением Windows

Аппаратные требования для точек распространения под управлением Linux

Минимальные аппаратные требования для точек распространения под управлением Linux

[Topic 250553]

Совместимые приложения и решения

Open Single Management Platform может быть интегрирован со следующими версиями приложений и решений:

• Kaspersky Security Center 15 Linux (в качестве подчиненных Серверов администрирования).
• Kaspersky Security Center 14.2 Windows (в качестве подчиненных Серверов администрирования).
• Kaspersky Anti Targeted Attack Platform 5.1.
• Kaspersky Anti Targeted Attack Platform 6.0.
• Kaspersky Anti Targeted Attack Platform 7.0.
• Kaspersky Endpoint Security для Windows 12.3 и выше (поддерживает файловые серверы).
• Kaspersky Endpoint Security для Linux 12.1 и выше.
• Kaspersky Endpoint Security для Windows 12.3 и выше.
• Kaspersky Endpoint Security для Mac 12.0 и выше.
• Kaspersky CyberTrace 4.2 (интеграция настраивается только в Консоли KUMA).
• Kaspersky Industrial CyberSecurity for Nodes 3.2 и выше.
• Kaspersky Endpoint Agent 3.16.
• Kaspersky Industrial CyberSecurity for Networks 4.0 (интеграция настраивается только в Консоли KUMA).
• Kaspersky Secure Mail Gateway 2.0 и выше (интеграция настраивается только в Консоли KUMA).
• Kaspersky Security для Linux Mail Server 10 и выше (интеграция настраивается только в Консоли KUMA).
• Kaspersky Web Traffic Security 6.0 и выше (интеграция настраивается только в Консоли KUMA).
• UserGate 7.
• Kaspersky Automated Security Awareness Platform.
• Kaspersky Threat Intelligence Portal.
• Kaspersky Next Generation Firewall (Kaspersky NGFW) Beta-2 (0.95).

Подробнее о версиях приложений и решений см. на странице "Жизненный цикл приложений".

Список ограничений

Open Single Management Platform поддерживает управление Kaspersky Endpoint Security для Windows со следующими ограничениями:

• Компонент Адаптивный контроль аномалий не поддерживается. Open Single Management Platform не поддерживает правила Адаптивного контроля аномалий.
• Компоненты Kaspersky Sandbox не поддерживаются.

[Topic 247191]

Архитектура Open Single Management Platform

Этот раздел содержит описание компонентов Open Single Management Platform и их взаимодействия.

Архитектура Open Single Management Platform

Open Single Management Platform включает следующие основные компоненты:

• OSMP. Технологическая основа, на которой построен Open Single Management Platform. OSMP объединяет все компоненты решения и обеспечивает взаимодействие между компонентами. OSMP является масштабируемым и поддерживает интеграцию как с приложениями "Лаборатории Касперского", так и со сторонними решениями.
• Консоль OSMP. Представляет собой веб-интерфейс OSMP.
• Консоль KUMA. Представляет собой веб-интерфейс Kaspersky Unified Monitoring and Analysis Platform (KUMA).
• Ядро KUMA. Центральный компонент KUMA. KUMA получает, обрабатывает и хранит события информационной безопасности, а затем анализирует события с помощью правил корреляции. Если в результате анализа срабатывает правило корреляции, KUMA создает алерт и отправляет его в Incident Response Platform.
• Incident Response Platform. Компонент Open Single Management Platform, который позволяет создавать инциденты автоматически или вручную, управлять жизненным циклом алертов и инцидентов, назначать алерты и инциденты аналитикам SOC, а также автоматически или вручную реагировать на инциденты, включая действия по реагированию с помощью плейбуков.
• Сервер администрирования (далее также Сервер). Ключевой компонент защиты конечных точек организации-клиента. Сервер администрирования обеспечивает централизованное развертывание и управление защитой конечных точек с помощью EPP-программ, а также позволяет контролировать состояние защиты конечных точек.
• Источники данных. Аппаратное и программное обеспечение информационной безопасности, которое создает события. После интеграции Open Single Management Platform с необходимыми источниками данных, KUMA получает события для их хранения и анализа.
• Интеграции. Приложения "Лаборатории Касперского" и сторонние решения, интегрированные в OSMP. С помощью интегрированных решений аналитик SOC может обогащать данные, необходимые для расследования инцидентов и реагирования на них.

[Topic 247197]

Интерфейс Консоли OSMP

Управление OSMP осуществляется через интерфейсы консоли OSMP и Консоли KUMA.

Окно консоли Kaspersky SMP содержит следующие элементы:

• главное меню в левой части окна;
• рабочая область в правой части окна.

Главное меню

Главное меню содержит следующие разделы:

• Сервер администрирования. Отображает имя Сервера администрирования, к которому вы сейчас подключены. Нажмите на значок параметров (), чтобы открыть свойства Сервера администрирования.
• Quick links. Отображает карту главного меню. Раздел Быстрые ссылки установлен как домашняя страница по умолчанию. Вы можете изменить эти параметры.
• Мониторинг и отчеты. Предоставляет обзор вашей инфраструктуры, статусов защиты и статистики, включая поиск угроз, алерты и инциденты и инструкции.
• Активы (Устройства). Содержит инструменты для активов, а также задачи и политики приложений "Лаборатории Касперского".
• Пользователи и роли. Позволяет управлять пользователями и ролями, настраивать права пользователей, назначать пользователям роли и связывать профили политик с ролями.
• Операции. Содержит различные параметры, включая лицензирование приложений, просмотр и управление зашифрованными дисками и событиями шифрования, а также управление приложениями сторонних производителей. Раздел также предоставляет вам доступ к хранилищам приложений.
• Обнаружение устройств и развертывание. Позволяет опрашивать сеть для обнаружения клиентских устройств и распределять устройства по группам администрирования вручную или автоматически. Этот раздел содержит мастер первоначальной настройки и мастер развертывания защиты.
• Marketplace. Содержит информацию о бизнес-решениях "Лаборатории Касперского", позволяет выбрать нужные вам и перейти к приобретению этих решений на сайте "Лаборатории Касперского".
• Параметры. Содержит параметры интеграции Open Single Management Platform с другими приложениями "Лаборатории Касперского" и позволяет перейти в Консоль KUMA и создать API-токен. Он также содержит параметры, связанные с отображением элементов интерфейса в зависимости от используемых функций и с языком интерфейса.
• Меню вашей учетной записи. Содержит ссылку на справку Kaspersky SMP. Также вы можете выйти из Kaspersky SMP и просмотреть версию консоли Kaspersky SMP и список установленных веб-плагинов управления.

Рабочая область

В рабочей области отображается выбранная вами информация для просмотра в разделах окон интерфейса Консоли OSMP. Она также содержит элементы управления, которые можно использовать для настройки отображения информации.

[Topic 272710]

Закрепление и отмена закрепления разделов главного меню

Вы можете закрепить разделы Консоли OSMP, чтобы добавить их в избранное и быстро получить к ним доступ из раздела Закрепленное в главном меню.

Если закрепленных элементов нет, раздел Закрепленное не отображается в главном меню.

Вы можете закрепить разделы, в которых отображаются только страницы. Например, если вы перейдете в раздел Активы (Устройства) → Управляемые устройства, откроется страница с таблицей устройств, что означает, что вы можете закрепить раздел Управляемые устройства. Если после выбора раздела в главном меню окно или элемент не отображается, то закрепить такой раздел нельзя.

Чтобы закрепить раздел:

1. В главном меню наведите курсор мыши на раздел, который вы хотите закрепить.

   Отображается значок булавки ().

2. Нажмите на значок булавки ().

Раздел закреплен и отображается в разделе Закрепленное.

Максимальное количество элементов, которые вы можете закрепить, равно пяти.

Вы также можете удалить элементы из избранных, отменив их закрепление.

Чтобы отменить закрепление раздела:

1. В главном окне приложения перейдите в раздел Закрепленное.
2. Наведите курсор мыши на раздел, для которого вы хотите отменить закрепление и нажмите на значок отмены закрепления ().

Раздел удален из избранных.

[Topic 256056]

Изменение языка интерфейса Консоли OSMP

Вы можете выбрать язык интерфейса Консоли OSMP.

Чтобы изменить язык интерфейса:

1. В главном окне приложения перейдите в раздел Параметры → Язык.
2. Выберите необходимый язык интерфейса.

[Topic 247196]

Лицензирование

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием Open Single Management Platform.

[Topic 73374]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать приложение.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с приложением.

Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:

• Во время установки Open Single Management Platform.
• Прочитав документ license.txt. Этот документ включен в комплект поставки приложения.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки приложения. Если вы не согласны с условиями Лицензионного соглашения, вам нужно прервать установку приложения и вы не должны использовать приложение.

[Topic 69295]

О лицензионном ключе

Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать приложение в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".

Вы можете добавить лицензионный ключ в приложение одним из следующих способов: применить файл ключа или ввести код активации. Лицензионный ключ отображается в интерфейсе приложения в виде уникальной буквенно-цифровой последовательности, после того как вы добавили его в приложение.

Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для работы приложения требуется добавить другой лицензионный ключ.

Лицензионный ключ может быть активным и дополнительным (или резервным).

Активный лицензионный ключ – лицензионный ключ, используемый в текущий момент для работы приложения. В качестве активного может быть добавлен лицензионный ключ для пробной или коммерческой лицензии. В приложении не может быть больше одного активного лицензионного ключа.

Дополнительный (или резервный) лицензионный ключ – лицензионный ключ, подтверждающий право на использование приложения, но не используемый в текущий момент. Дополнительный лицензионный ключ автоматически становится активным, когда заканчивается срок действия лицензии, связанной с текущим активным лицензионным ключом. Дополнительный лицензионный ключ может быть добавлен только при наличии активного лицензионного ключа.

Лицензионный ключ для пробной лицензии может быть добавлен только в качестве активного лицензионного ключа. Лицензионный ключ для пробной лицензии не может быть добавлен в качестве дополнительного лицензионного ключа.

[Topic 69430]

О коде активации

Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Вы вводите код активации, чтобы добавить лицензионный ключ, активирующий Open Single Management Platform. Вы получаете код активации по указанному вами адресу электронной почты после приобретения Open Single Management Platform или после заказа пробной версии Open Single Management Platform.

Чтобы активировать приложение с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

Если код активации был потерян после активации приложения, свяжитесь с партнером "Лаборатории Касперского", у которого вы приобрели лицензию.

[Topic 69431]

О файле ключа

Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего приложение.

Вы получаете файл ключа по указанному вами адресу электронной почты после приобретения Open Single Management Platform или после заказа пробной версии Open Single Management Platform.

Чтобы активировать приложение с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно удален, вы можете его восстановить. Файл ключа может потребоваться вам, например, для регистрации в Kaspersky CompanyAccount.

Для восстановления файла ключа вам нужно выполнить одно из следующих действий:

• Обратиться к продавцу лицензии.
• Получить файл ключа на веб-сайте "Лаборатории Касперского" на основе имеющегося кода активации.

[Topic 269808]

Лицензионные ограничения

Приобретая лицензию на Open Single Management Platform, вы определяете количество пользователей, которых хотите защитить. Вы можете превысить лицензионное ограничение не более чем на 5%. Если вы превысите лицензионное ограничение более чем на 5%, дополнительные устройства и дополнительные учетные записи будут добавлены в список Ограниченные активы.

Если лицензионное ограничение превышено, в верхней части Консоли OSMP отображается уведомление.

Невозможно запустить действия по реагированию или сценарии для ограниченных активов.

Чтобы просмотреть список ограниченных активов:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. В разделе Тенанты нажмите на корневой тенант.

   Откроется окно свойств корневого тенанта.

3. Выберите вкладку Лицензии.
4. Перейдите по ссылке с количеством ограниченных активов.

Откроется окно Ограниченные активы.

В списке отображается не более 2000 ограниченных активов (первые 1000 устройств и первые 1000 учетных записей).

[Topic 265011]

Активация Open Single Management Platform

После установки Open Single Management Platform вам необходимо активировать приложение в свойствах Сервера администрирования.

Чтобы активировать Open Single Management Platform:

1. В главном меню нажмите на значок параметров () рядом с именем корневого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Лицензионные ключи.
3. В разделе Действующая лицензия нажмите на кнопку Выбрать.
4. В открывшемся окне выберите лицензионный ключ, который вы хотите использовать для активации Open Single Management Platform. Если лицензионного ключа нет в списке, нажмите на кнопку Добавить лицензионный ключ и укажите новый лицензионный ключ.
5. При необходимости вы также можете добавить
   резервный лицензионный ключ

   

   Лицензионный ключ, подтверждающий право на использование приложения, но не используемый в текущий момент. Резервный лицензионный ключ автоматически становится активным, когда заканчивается срок действия лицензии, связанной с текущим активным лицензионным ключом.

   . Для этого в разделе Резервный лицензионный ключ нажмите на кнопку Выбрать и выберите существующий лицензионный ключ или добавьте ключ. Обратите внимание, что вы не можете добавить резервный лицензионный ключ, если нет активного лицензионного ключа.
6. Нажмите на кнопку Сохранить.

[Topic 266610]

Просмотр информации об используемых лицензионных ключах

Чтобы просмотреть информацию об активном и резервном лицензионных ключах:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. В разделе Тенанты нажмите на корневой тенант.

   Откроется окно свойств корневого тенанта.

3. Выберите вкладку Лицензии.

   Отображается информация об активном и резервном лицензионных ключах.

Отображаемый лицензионный ключ применяется ко всем дочерним тенантам корневого тенанта. Указать отдельный лицензионный ключ для дочернего тенанта невозможно. В окне свойств дочерних тенантов нет вкладки Лицензии.

Если лицензионное ограничение ключей превышено, отображается уведомление, а в информации о лицензионном ключе отображается предупреждение.

Вы можете нажать на кнопку Перейти к Серверу администрирования, чтобы управлять лицензионными ключами Open Single Management Platform.

Также можно просмотреть список объектов, используемых по лицензии на вкладке Лицензии. Для этого нажмите на кнопку .

Доступность объекта, используемого по лицензии, зависит от типа приобретенной лицензии.

[Topic 214791]

Продление срока действия лицензии приложений "Лаборатории Касперского"

Вы можете продлить лицензии на Open Single Management Platform и включенные в него приложения "Лаборатории Касперского", такие как Kaspersky Unified Monitoring and Analysis Platform и Open Single Management Platform. Вы можете продлить лицензии, срок действия которых истек или истекает в течение 30 дней.

Письмо с архивом, содержащим новые лицензионные ключи, будет отправлено на ваш адрес электронной почты после покупки новой лицензии на Open Single Management Platform.

Чтобы продлить лицензию на Open Single Management Platform:

1. Извлеките новые лицензионные ключи из архива, отправленного на ваш адрес электронной почты.
2. Следуйте инструкциям в разделе Активация Open Single Management Platform.

Срок действия лицензии продлен.

Если вам необходимо продлить лицензии включенных приложений "Лаборатории Касперского", вам нужно добавить лицензионные ключи в веб-интерфейсы этих решений.

О том, как продлить лицензию на Kaspersky Unified Monitoring and Analysis Platform, см. раздел Добавление лицензионного ключа в веб-интерфейс приложения справки Kaspersky Unified Monitoring and Analysis Platform.

О том, как продлить лицензию на Kaspersky Endpoint Detection and Response Expert, см. раздел Добавление ключа справки Kaspersky Anti Targeted Attack Platform.

В Консоли OSMP уведомления отображаются при приближении истечения срока действия лицензии по следующему расписанию:

• за 30 дней до истечения срока действия;
• за 7 дней до истечения срока действия;
• за 3 дней до истечения срока действия;
• за 24 часа до истечения срока действия;
• когда срок действия лицензии истек.

[Topic 249153]

Предоставление данных

Данные, обрабатываемые локально

Open Single Management Platform предназначен для оптимизации выявления угроз, расследования инцидентов, реагирования (в том числе автоматического), а также проактивного поиска угроз в реальном времени.

Open Single Management Platform выполняет следующие основные функции:

• получение, обработка и хранение событий информационной безопасности;
• анализ и корреляция поступающих данных;
• расследование инцидентов и алертов, ручное реагирование;
• автоматическое реагирование с использованием предустановленных и пользовательских плейбуков;
• поиск угроз по событиям в реальном времени.

Для выполнения своих основных функций приложение Open Single Management Platform может принимать, хранить и обрабатывать следующую информацию:

• Информация об устройствах, на которые производится установка компонентов Open Single Management Platform:
  • Имя устройства, MAC-адрес, поставщик операционной системы, номер сборки операционной системы, версия ядра ОС, наличие требуемых установленных пакетов, наличие прав для учетной записи, тип средства управления службами, состояние портов. Данная информация собирается Kaspersky Deployment Toolkit при установке.
  • IPv4-адрес. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Имена учетных записей для доступа к устройствам, на которые производится установка компонентов Open Single Management Platform, и SSH ключи. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Имя и пароль учетной записи Open Single Management Platform. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Данные для доступа к СУБД: IP/DNS имя, порт, логин и пароль пользователя. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Файлы инвентаря и лицензии KUMA. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Зона DNS. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Сертификаты безопасного подключения устройств к компонентам Open Single Management Platform. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Гибкая модель статусов инцидентов, включая предустановленные (стандартная или ГОСТ). Наличие модель статусов по ГОСТ настраивается пользователем в конфигурационном файле Kaspersky Deployment Toolkit.

  Информация, которую заполняет пользователь в конфигурационном файле Kaspersky Deployment Toolkit и которую собирает Kaspersky Deployment Toolkit при установке, сохраняется в лог установки, который хранится в базе данных Kaspersky Deployment Toolkit. Лог установки первоначальной инфраструктуры сохраняется в файл на машине пользователя. Срок хранения не ограничен, файл будет удален при деинсталляции решения. Имена пользователей и пароли хранятся в зашифрованном виде.

• Информация о типах инцидентов: общая информация о типе, включая имя и описания типа; связь типа и модели статусов инцидентов.
• Информация об учетных записях пользователей: полное имя и адрес электронной почты. Данная информация вводится пользователем в Консоли OSMP и KUMA. Данные хранятся в базе данных неограниченное время, пока пользователь их не удалит.
• Данные об интеграционном токене.
• Информация о тенантах: название тенанта, название родительского тенанта, описание. Данная информация вводится пользователем в Консоли OSMP и KUMA. Данные хранятся в базе данных неограниченное время, пока пользователь их не удалит.
• Данные об алертах и инцидентах:
  • Данные об алертах: сработавшие правила, соответствие матрице MITRЕ, статус алерта, резолюция, назначенный оператор, затронутые активы (устройства и учетные записи), наблюдаемые объекты (IP, MD5, SHA256, URL, DNS-домен или DNS-имя, имя пользователя, имя устройства), признак наличия устройств КИИ в алерте, комментарии и журнал изменений, файлы. Данная информация формируется в Консоли OSMP автоматически на основании корреляционных событий из Kaspersky Unified Monitoring and Analysis Platform.
  • Данные об инцидентах: связанные алерты, сработавшие правила, соответствие матрице MITRЕ, статус инцидента, резолюция, затронутые активы (устройства и аккаунты), наблюдаемый объект (из алерта), признак наличия устройств КИИ в инциденте, комментарии и журнал изменений. Данная информация формируется в Консоли OSMP автоматически по правилам или вручную пользователем, файлы, тип инцидента.
  • Данные об инцидентах НКЦКИ: сведения об атакованном ресурсе и о вредоносной системе, информацию из ГосСОПКА по экспортированному инциденту (уникальный идентификатор карточки уведомления в НКЦКИ, регистрационный номер уведомления, дата и время регистрации инцидента в ГосСОПКА, дата последнего обновления инцидента в ГосСОПКА) и журнал изменений. Данная информация формируется автоматически на основании инцидентов XDR для передачи в ГосСОПКА.
  • Данные о настройке правил формирования инцидентов из алертов: имя и условия срабатывания правила, шаблон имени нового инцидента, описание правила и приоритет запуска правила. Данная информация вводится пользователем в Консоли OSMP.
  • Данные о шаблонах уведомлений: имя шаблона, тема сообщения, шаблон текста сообщения, описание шаблона и правила детектирования, при срабатывании которых будут отправляться уведомления. Данная информация вводится пользователем в Консоли OSMP.

  Данные об алертах и инцидентах хранятся в соответствии с заданным пользователем сроком хранения.

  Данные об инцидентах НКЦКИ, настройке правил формирования инцидентов и шаблонах уведомлений хранятся в базе данных неограниченное время, пока пользователь не удалит их.

• Данные о настройках сроков хранения алертов и инцидентов
• Данные о плейбуках:
  • Операционные данные плейбука, в том числе данные о входных параметрах действий по реагированию: название, описание, теги, текст триггера и алгоритма. Данная информация вводится пользователем в Консоли OSMP.
  • Данные о результатах выполнения действий по реагированию в рамках исполнения плейбука: содержит данные из интегрированных систем, данные с устройств.
  • Полная история реагирований по всем алертам и инцидентам.

  Перечисленные выше данные о плейбуках хранятся в базе данных в течение трех дней, после чего удаляются. Данные полностью удаляются при деинсталляции Open Single Management Platform.

• Данные о параметрах интеграции (как с приложениями и службами "Лаборатории Касперского", так и со сторонними решениями, которые участвуют в сценариях Open Single Management Platform):
  • Интеграция с Kaspersky Threat Intelligence Portal: API-токен доступа для подключения к Kaspersky Threat Intelligence Portal, срок хранения кеша, признак подключения через прокси, тип сервиса. Данная информация вводится пользователем в Консоли OSMP.
  • Интеграция с НКЦКИ: URL-адрес, API-токен доступа для подключении к ГосСОПКА, наименование компании, сфера деятельности компании, сведения о местонахождении или географическом местоположении информационного ресурса или объекта, признак подключения через прокси. Данная информация вводится пользователем в Консоли OSMP.
  • Интеграция с КАТА/EDR: адрес сервера KATA/EDR: IP адрес/имя устройства, порт, уникальный идентификатор для подключения к KATA/EDR, файл сертификата и закрытый ключ для подключения к КАТА/EDR. Данная информация вводится пользователем в Консоли OSMP.
  • Подключение к устройству, где будет запускаться пользовательский скрипт: IP адрес/имя устройства, порт, логин пользователя и SSH ключ, пароль/ключ. Данная информация вводится пользователем в Консоли OSMP.
  • Интеграция с Сервером администрирования OSMP: имя Сервера администрирования, полный путь до Сервера администрирования в иерархии. Данная информация вводится пользователем в Консоли OSMP.
  • Интеграция с Kaspersky Cyber Trace: IPv4/Hostname и порт, по которому доступен Kaspersky Cyber Trace, имя и пароль для подключения. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с Kaspersky Automated Security Awareness Platform (KASAP): API токен доступа при подключении к KASAP, URL портала KASAP, Email Администратора KASAP, признак подключения через прокси. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с Active Directory: адреса контроллеров домена, логин и пароль для подключения к контроллерам домена, сертификат. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с внешней системой (например UserGate): данные для подключения к удаленному клиентскому устройству: логин пользователя и SSH ключ, пароль/ключ.

  Перечисленные выше данные о настройках интеграции хранятся в базе данных неограниченное время, пока пользователь не удалит их. Данные полностью удаляются при деинсталляции приложения.

• IP-адрес, с которого пользователь подключается к Консоли OSMP - фиксируется автоматически Консолью, хранится до истечения времени хранения ревизий объектов, которые редактировал пользователь.

Подробную информацию о прочих данных, принимаемых, хранимых и обрабатываемых для выполнения основных функций решения Open Single Management Platform, см. в справке приложения:

• Kaspersky Security Center 15.2 Linux
• Kaspersky Unified Monitoring and Analysis Platform

Все перечисленные выше данные могут быть переданы в "Лабораторию Касперского" только посредством файлов дампа, файлов трассировки или файлов журналов компонентов Open Single Management Platform, включая файлы журналов, создаваемые инсталляторами и утилитами. Файлы дампов, файлы трассировки или файлы журналов компонентов Open Single Management Platform могут содержать персональные или конфиденциальные данные. Файлы дампов, файлы трассировки или файлы журналов хранятся в открытой форме на устройствах. Файлы дампов, файлы трассировки или файлы журналов не передаются в "Лабораторию Касперского" автоматически, но администратор может передать эти файлы в "Лаборатории Касперского" вручную по запросу Службы технической поддержки для решения проблем в работе Open Single Management Platform. "Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи. Срок хранения данной информации (период ротации) составляет, по умолчанию, 7 дней.

Данные, передаваемые в "Лабораторию Касперского"

Переходя по ссылкам из Консоли OSMP к справке OSMP, пользователь соглашается на автоматическую передачу в "Лабораторию Касперского" следующих данных: код OSMP, версия OSMP, локализация OSMP.

Для назначения обучающего курса сотруднику Open Single Management Platform передает в Kaspersky Automated Security Awareness Platform (KASAP) следующие данные: email пользователя, ID пользователя в KASAP, ID группы обучения.

Для получения дополнительных данных по алертам Open Single Management Platform передает в Threat Intelligence Portal следующую информацию: тип и значение наблюдаемых объектов из алертов, инцидентов, событий информационной безопасности.

Данные, передаваемые третьим сторонам

Для получения информации о тактике/технике MITRE при переходе по ссылке из карточки алерта/инцидента, Open Single Management Platform передает на сайт MITRE информацию о тактике/технике: ID и тип.

Для представления информации по инциденту НКЦКИ (Национальный координационный центр по компьютерным инцидентам) в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) Open Single Management Platform передает следующие данные:

• Краткое описание инцидента, категория инцидента, тип инцидента. Дата и время выявления компьютерного инцидента (признака инцидента), начала компьютерной атаки или выявления уязвимости (признака уязвимости), дата и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
• Наименование главной организации, в которой произошел инцидент. Наименование подчиненной организации, в которой произошел инцидент.
• Ограничительный маркер на распространение сведений из карточки компьютерной атаки, статус реагирования на инцидент.
• Название информационного ресурса, целевая функция или сфера деятельности, в которой функционирует информационный ресурс. Наличие одной из категорий у объекта КИИ или ее отсутствие. Сведения о месте нахождения или географического местоположения информационного ресурса или объекта КИИ. Город, в котором расположен объект КИИ, на котором произошел инцидент, атака или обнаружена уязвимость.
• Наименование уязвимого приложения, версия уязвимого приложения.
• Необходимость привлечения сил ГосСОПКА, сведения о средстве или способе выявления инцидента, наличие подключения к сети Интернет.
• Влияние на доступность, влияние на целостность, влияние на конфиденциальность. Описание иной формы последствий компьютерного инцидента или компьютерной атаки.
• IPv4-адрес и IPv6-адрес контролируемого ресурса, доменное имя контролируемого ресурса, URI-адрес контролируемого ресурса, Email-адрес контролируемого ресурса.
• Имя атакованной сетевой службы, порт/протокол сетевой службы.
• Тип активности, хеш-сумма вредоносного модуля, описание используемых уязвимостей, идентификатор уязвимости.
• IPv4-адрес и IPv6-адрес вредоносной системы, доменное имя вредоносной системы, URI-адрес вредоносной системы, Email-адрес вредоносной системы.
• AS-Path до атакованной Автономной системы (ASN), номер подставной Автономной системы (ASN), наименование LIR, наименование AS.
• Утечка ПДн, наименование оператора ПДн, ИНН оператора ПДн, адрес оператора ПДн, адрес электронной почты для отправки информации об уведомлении. Предполагаемые причины, повлекшие нарушение прав субъектов ПД. Предполагаемый вред, нанесенный правам субъектов ПД. Характеристики персональных данных, принятые меры по устранению последствий инцидента, информация о результатах внутреннего расследования инцидента, дополнительные сведения.

Для реагирования через внешние системы (например, UserGate) с помощью запуска сторонних скриптов на удаленных клиентских устройствах Open Single Management Platform передает во внешние системы следующую информацию: тип и значение наблюдаемых объектов из алертов, инцидентов.

[Topic 265008]

Предоставление данных в Open Single Management Platform

Данные, обрабатываемые локально

Приложение Open Single Management Platform предназначено для централизованного решения основных задач по управлению и обслуживанию системы защиты сети организации. Open Single Management Platform предоставляет администратору доступ к подробной информации об уровне безопасности сети организации и позволяет настраивать все компоненты защиты, построенной на основе приложений "Лаборатории Касперского". Open Single Management Platform выполняет следующие основные функции:

• обнаружение устройств и их пользователей в сети организации;
• формирование иерархии групп администрирования для управления устройствами;
• установка приложений "Лаборатории Касперского" на устройства;
• управление параметрами работы и задачами установленных приложений;
• активация приложений "Лаборатории Касперского" на устройствах;
• управление учетными записями пользователей;
• просмотр информации о работе приложений "Лаборатории Касперского" на устройствах;
• просмотр отчетов.

Для выполнения своих основных функций приложение Open Single Management Platform может принимать, хранить и обрабатывать следующую информацию:

• Информация об устройствах в сети организации получена путем опроса контроллеров домена Active Directory или Samba или путем опроса IP-диапазонов. Сервер администрирования самостоятельно получает данные или передает Агенту администрирования.
• Информация из Active Directory и Samba об организационных подразделениях, доменах, пользователях и группах. Сервер администрирования самостоятельно получает данные, или их передает ему Агент администрирования, который выполняет роль точки распространения.
• Данные об управляемых устройствах. Агент администрирования передает от устройства Серверу администрирования перечисленные ниже данные. Пользователь вводит отображаемое имя и описание устройства в интерфейсе Консоли OSMP:
  • Технические характеристики управляемого устройства и его компонентов, необходимые для идентификации устройства: отображаемое имя и описание устройства, имя и тип (для устройств, принадлежащих Windows-домену), имя устройства в среде (для устройств, принадлежащих Windows-домену), DNS-домен и DNS-имя, IPv4-адрес, IPv6-адрес, сетевое местоположение, MAC-адрес, тип операционной системы, является ли устройство виртуальной машиной и тип гипервизора, является ли устройство динамической виртуальной машиной как частью VDI.
  • Прочие характеристики управляемых устройств и их компонентов, необходимые для аудита управляемых устройств: архитектура операционной системы, поставщик операционной системы, номер сборки операционной системы, идентификатор выпуска операционной системы, папка расположения операционной системы, если устройство является виртуальной машиной, то тип виртуальной машины, имя виртуального Сервера администрирования, под управлением которого находится устройство.
  • Подробные данные о действиях на управляемых устройствах: дата и время последнего обновления, время, когда устройство последний раз было видимо в сети, состояние ожидания перезапуска, время включения устройства.
  • Данные об учетных записях пользователей устройств и их сеансах работы.
• Данные, полученные при запуске удаленной диагностики на управляемом устройстве: файлы трассировки, системная информация, сведения об установленных на устройстве приложениях "Лаборатории Касперского", файлы дампов, журналы событий, результаты запуска диагностических скриптов, полученные от Службы технической поддержки "Лаборатории Касперского".
• Статистику работы точки распространения, если устройство является точкой распространения. Агент администрирования передает данные от устройства на Сервер администрирования.
• Параметры точки распространения, которые Пользователь вводит в Консоли OSMP.
• Данные о приложениях "Лаборатории Касперского", установленных на устройстве. Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования:
  • Параметры приложений "Лаборатории Касперского", установленных на управляемом устройстве: название и версия приложения "Лаборатории Касперского", статус, состояние постоянной защиты, дата и время последней проверки устройства, количество обнаруженных угроз, количество объектов, для которых не удалось выполнить лечение, наличие и статус компонентов приложения, данные о параметрах и задачах приложения "Лаборатории Касперского", информация об активном и резервных лицензионных ключах, дата и идентификатор установки приложения.
  • Статистика работы приложения: события, связанные с изменениями статуса компонентов приложения "Лаборатории Касперского" на управляемом устройстве и с выполнением задач, инициированных компонентами приложения.
  • Состояние устройства, определенное приложением "Лаборатории Касперского".
  • Теги, передаваемые приложением "Лаборатории Касперского".
• Данные, содержащиеся в событиях от компонентов Open Single Management Platform и управляемых приложений "Лаборатории Касперского". Агент администрирования передает данные от устройства на Сервер администрирования.
• Настройки компонентов Open Single Management Platform и управляемых приложений "Лаборатории Касперского", представленные в виде политик и профилей политик. Данная информация вводится пользователем в интерфейсе Консоли OSMP.
• Настройки задач компонентов Open Single Management Platform и управляемых приложений "Лаборатории Касперского". Данная информация вводится пользователем в интерфейсе Консоли OSMP.
• Данные, обрабатываемые функцией Системное администрирование. Агент администрирования передает с устройства на Сервер администрирования следующую информацию:
  • Информация об оборудовании, обнаруженном на управляемых устройствах (Реестр оборудования).

    Если Агент администрирования установлен на устройстве с операционной системой Windows, он отправляет на Сервер администрирования следующую информацию об аппаратном обеспечении устройства:

    • оперативная память;
    • запоминающие устройства;
    • материнская плата;
    • процессор;
    • сетевой адаптер;
    • мониторы;
    • видеоадаптер;
    • звуковая плата.

    Если Агент администрирования установлен на устройстве с операционной системой Linux, он отправляет на Сервер администрирования информацию об аппаратном обеспечении устройства, если эта информация предоставляется операционной системой:

    • общий объем оперативной памяти;
    • общий объем запоминающих устройств;
    • материнская плата;
    • процессор;
    • сетевой адаптер.
  • Данные о приложениях, установленных на управляемых устройствах (Реестр приложений). Приложения могут быть сопоставлены с информацией об исполняемых файлах, обнаруженных на управляемых устройствах функцией Контроль приложений.
• Пользовательские категории приложений. Данная информация вводится пользователем в интерфейсе Консоли OSMP.
• Данные об исполняемых файлах, обнаруженных на управляемых устройствах функцией Контроль приложений. Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующего приложения.
• Информация о шифровании устройств с операционной системой Windows и статусах шифрования. Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования.
• Информация об ошибках шифрования данных на устройствах с операционной системой Windows, выполняемого функцией Шифрование данных приложений "Лаборатории Касперского". Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующего приложения.
• Данные о файлах, помещенных в резервное хранилище. Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующего приложения.
• Данные о файлах, помещенных в Карантин. Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующего приложения.
• Данные о файлах, запрошенных специалистами "Лаборатории Касперского" для подробного анализа. Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующего приложения.
• Данные о внешних устройствах (устройствах памяти, инструментах передачи информации, инструментах превращения информации в твердую копию, шинах подключения), установленных или подключенных к управляемому устройству и обнаруженных функцией Контроль устройств. Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующего приложения.
• Информация о зашифрованных устройствах и статусе шифрования. Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования.
• Информация об ошибках шифрования данных на устройствах. Шифрование выполняется функцией Шифрование данных приложений "Лаборатории Касперского". Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующего приложения.
• Список управляемых программируемых логических контроллеров (ПЛК). Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующего приложения.
• Данные для создания цепочки развития угроз. Управляемое приложение передает данные с устройства на Сервер администрирования через Агент администрирования. Полный список данных представлен в справке соответствующего приложения.
• Данные о введенных кодах активации или файлах ключей. Пользователь вводит данные в интерфейсе Консоли администрирования или Консоли OSMP.
• Учетные записи пользователей: имя, описание, полное имя, адрес электронной почты, основной телефон, пароль. Данная информация вводится пользователем в интерфейсе Консоли OSMP.
• Истории ревизий объектов управления. Данная информация вводится пользователем в интерфейсе Консоли OSMP.
• Реестр удаленных объектов управления. Данная информация вводится пользователем в интерфейсе Консоли OSMP.
• Инсталляционные пакеты, созданные из файла, и параметры установки. Данная информация вводится пользователем в интерфейсе Консоли OSMP.
• Данные, необходимые для отображения объявлений от "Лаборатории Касперского" в Консоли OSMP. Данная информация вводится пользователем в интерфейсе Консоли OSMP.
• Данные, необходимые для работы плагинов управляемых приложений в Консоли OSMP и сохраняемые плагинами в базе данных Сервера администрирования в процессе повседневной работы. Описание и способы предоставления данных приведены в файлах справки соответствующего приложения.
• Настройки пользователя в Консоли OSMP: язык локализации и тема пользовательского интерфейса, настройки отображения панели мониторинга, информации о состоянии нотификаций (прочитано/не прочитано), состояние столбцов в таблицах (скрыть/показать), прогресс прохождения режима обучения. Данная информация вводится пользователем в интерфейсе Консоли OSMP.
• Сертификат безопасного подключения управляемых устройств к компонентам Open Single Management Platform. Данная информация вводится пользователем в интерфейсе Консоли OSMP.
• Информация о принятии пользователем условий юридических соглашений с "Лабораторией Касперского".
• Данные Сервера администрирования, которые Пользователь вводит в интерфейсе Консоли OSMP или в программном интерфейсе Kaspersky Security Center OpenAPI.
• Любые данные, которые Пользователь вводит в интерфейсе Консоли OSMP.

Перечисленные выше данные могут попасть в Open Single Management Platform следующими способами:

• Данная информация вводится пользователем в интерфейсе Консоли OSMP.
• Агент администрирования самостоятельно получает данные с устройства и передает на Сервер администрирования.
• Агент администрирования получает данные от управляемого приложения "Лаборатории Касперского" и передает их на Сервер администрирования. Перечни данных, обрабатываемых управляемыми приложениями "Лаборатории Касперского", приведены в справках соответствующих приложений.
• Сервер администрирования самостоятельно получает данные о сетевых устройствах, или их передает ему Агент администрирования, который выполняет роль точки распространения.

Перечисленные данные хранятся в базе данных Сервера администрирования. Имена пользователей и пароли хранятся в зашифрованном виде.

Все перечисленные выше данные могут быть переданы "Лаборатории Касперского" только посредством файлов дампа, файлов трассировки или файлов журналов компонентов Open Single Management Platform, включая файлы журналов, создаваемые инсталляторами и утилитами.

Файлы дампов, файлы трассировки или файлы журналов компонентов Open Single Management Platform содержат произвольные данные Сервера администрирования, Агента администрирования и Консоли OSMP. Эти файлы могут содержать персональные или прочие конфиденциальные данные. Файлы дампов, файлы трассировки или файлы журналов событий хранятся в незашифрованной форме на устройствах. Файлы дампов, файлы трассировки или файлы журналов не передаются в "Лабораторию Касперского" автоматически, однако, администратор может передать эти файлы в "Лаборатории Касперского" вручную по запросу Службы технической поддержки для решения проблем в работе Open Single Management Platform.

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского". Данные передаются по зашифрованным каналам связи.

Переходя по ссылкам в Консоли администрирования или в Консоли OSMP, Пользователь соглашается на автоматическую передачу следующих данных:

• Код Open Single Management Platform.
• Версия Open Single Management Platform.
• Локализация Open Single Management Platform.
• Идентификатор лицензии.
• Тип лицензии.
• Признак покупки лицензии через партнера.

Список данных, предоставляемых по каждой ссылке, зависит от цели и местоположения ссылки.

"Лаборатория Касперского" использует полученные данные в анонимной форме и только для целей общей статистики. Сводная статистика автоматически формируется из полученной исходной информации и не содержит каких-либо персональных или прочих конфиденциальных данных. При накоплении новых данных предыдущие данные уничтожаются (один раз в год). Сводная статистика хранится неограниченное время.

[Topic 261327]

Предоставление данных в Kaspersky Unified Monitoring and Analysis Platform

Данные, передаваемые третьим сторонам

При использовании функциональности KUMA отсутствует автоматическая передача данных пользователя третьим сторонам.

Данные, обрабатываемые локально

Kaspersky Unified Monitoring and Analysis Platform (далее "KUMA" или "приложение") – это комплексное программное решение, сочетающее в себе следующие основные функции:

• получение, обработка и хранение событий информационной безопасности;
• анализ и корреляция поступающих данных;
• поиск по полученным событиям;
• создание уведомлений о выявлении признаков угроз информационной безопасности;
• создание алертов и инцидентов для обработки угроз информационной безопасности;
• отображение информации о состоянии инфраструктуры заказчика на панели мониторинга и в отчетах;
• мониторинг источников событий;
• управление устройствами (активами): просмотр информации об активах, поиск, добавление, редактирование и удаление активов, экспорт данных об активах в файл формата CSV.

Для выполнения своих основных функций KUMA может принимать, хранить и обрабатывать следующую информацию:

• Данные об устройствах в сети организации.

  Сервер Ядра KUMA получает данные, если настроена соответствующая интеграция. Вы можете добавить активы в KUMA следующими способами:

  • Импортировать активы:
    • По запросу из MaxPatrol.
    • По расписанию: из Open Single Management Platform и KICS for Networks.
  • Создать активы вручную через веб-интерфейс или с помощью API.

  KUMA хранит следующие данные об устройствах:

  • Технические характеристики устройства.
  • Уязвимости, обнаруженные на активе.
  • Данные, специфичные для источника получения актива.
• Дополнительные технические характеристики устройств в сети организации, которые пользователь указывает для отправки инцидента в НКЦКИ: IP-адреса, доменные имена, URI-адреса, адрес электронной почты контролируемого объекта, атакованная сетевая служба и порт/протокол.
• Информация об организации: название, ИНН, почтовый адрес, адрес электронной почты для отправки уведомлений.
• Данные Active Directory об организационных единицах, доменах, пользователях, группах, полученные в результате опроса сети Active Directory.

  Сервер Ядра KUMA получает эти данные, если настроена соответствующая интеграция. Для обеспечения безопасного подключения к серверу LDAP пользователь вводит URL сервера, Base DN, учетные данные для подключения и сертификат в Консоли KUMA.

• Данные для доменной аутентификации пользователей в KUMA: корневой DN для поиска групп доступа в службе каталогов Active Directory, URL-адрес контроллера домена, сертификат (публичный ключ root, которым подписан сертификат AD), полный путь к группе доступа пользователей в AD (distinguished name).
• Данные, содержащиеся в событиях от настроенных источников.

  В коллекторе настраивается источник событий, формируются события KUMA и передаются далее в другие сервисы KUMA. Иногда события могут поступать сначала в сервис агент, который передает события от источника в коллектор. Также вы можете настроить сохранение адреса или имени устройства сервера, который агрегирует события.

• Данные, необходимые для интеграции KUMA с другими приложениями (Kaspersky Threat Lookup, Kaspersky CyberTrace, Open Single Management Platform, Kaspersky Industrial CyberSecurity for Networks, Kaspersky Automated Security Awareness Platform, Kaspersky Endpoint Detection and Response, Security Orchestration, Automation and Response: AI-оценка и статус, Kaspersky Investigation and Response Assistant).

  Это могут быть сертификаты, токены, URL или данные учетной записи для установки соединения с другим приложением, а также другие данные для обеспечения основной функциональности KUMA, например email. Пользователь вводит эти данные в Консоли KUMA.

• Данные об источниках, с которых настроено получение событий.

  Это могут быть название источника, имя устройства, IP-адрес, политика мониторинга, назначенная этому источнику. В политике мониторинга указывается адрес электронной почты ответственного, кому будет отправлено уведомление при нарушении политики.

• Учетные записи пользователей: имя, логин, адрес электронной почты. Пользователь может просмотреть свои данные в профиле в Консоли KUMA.
• Параметры профиля пользователя:
  • Роль пользователя в KUMA. Пользователь может видеть назначенную ему роль.
  • Язык локализации, параметры уведомлений, отображение непечатаемых символов.

    Пользователь вводит эти данные в интерфейсе KUMA.

  • Список категорий активов в разделе Активы, панель мониторинга по умолчанию, признак режима ТВ для панели мониторинга, SQL-запрос по событиям по умолчанию, пресет по умолчанию.

    Пользователь указывает эти параметры в соответствующих разделах Консоли KUMA.

• Данные для доменной аутентификации пользователей в KUMA:
  • Active Directory: корневой DN для поиска групп доступа в службе каталогов Active Directory, URL-адрес контроллера домена, сертификат (публичный ключ root, которым подписан сертификат AD), полный путь к группе доступа пользователей в AD (distinguished name).
  • Active Directory Federation Services (ADFS): идентификатор доверенной стороны (идентификатор KUMA в ADFS), URI для получения метаданных Connect, URL для перенаправления из ADFS и сертификат сервера ADFS.
  • FreeIPA: Base DN, URL, сертификат (открытый корневой ключ, который использовался для подписи сертификата FreeIPA), пользовательские учетные данные для интеграции, учетные данные для подключения.
• События аудита.

  KUMA автоматически фиксирует события аудита.

• Журнал KUMA.

  Пользователь может включить ведение расширенных записей журналов в Консоли KUMA. Записи журнала хранятся на устройстве пользователя, автоматическая передача данных отсутствует.

• Информация о принятии пользователем условий юридических соглашений с "Лабораторией Касперского".
• Любые данные, которые пользователь вводит в интерфейсе KUMA.

Перечисленные выше данные могут попасть в KUMA следующими способами:

• Пользователь вводит данные в Консоли KUMA.
• Сервисы KUMA (агент или коллектор) получают данные при настроенном пользователем подключении к источникам событий.
• Через REST API KUMA.
• Данные об устройствах могут быть получены с помощью утилиты из MaxPatrol.

Перечисленные данные хранятся в базе данных KUMA (Mongo DB, Click House, SQLite). Пароли хранятся в зашифрованном виде (хранится хеш паролей).

Все перечисленные выше данные могут быть переданы "Лаборатории Касперского" только в файлах дампа, файлах трассировки или файлах журналов компонентов KUMA, включая файлы журналов, создаваемые установщиком и утилитами.

Файлы дампа, файлы трассировки и файлы журналов компонентов KUMA могут содержать персональные и конфиденциальные данные. Файлы дампа, файлы трассировки и файлы журналов хранятся в открытом виде на устройстве. Файлы дампа, файлы трассировки и файлы журналов не передаются в "Лабораторию Касперского" автоматически, но администратор может передать эти данные в "Лабораторию Касперского" вручную по запросу Службы технической поддержки для решения проблем в работе KUMA.

"Лаборатория Касперского" использует полученные данные в анонимной форме и только для целей общей статистики. Сводная статистика автоматически формируется из полученной исходной информации и не содержит каких-либо персональных или прочих конфиденциальных данных. При накоплении новых данных предыдущие данные уничтожаются (один раз в год). Сводная статистика хранится неограниченное время.

"Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи.

[Topic 264017]

Начало работы

Следующие сценарии представляют собой пошаговые инструкции от приобретения Open Single Management Platform до расследования инцидентов и поиска угроз.

Начните с установки и первоначальной настройки Open Single Management Platform, изучите функции обнаружения и поиска угроз Open Single Management Platform и ознакомьтесь с примером рабочего процесса расследования инцидентов.

[Topic 263892]

Развертывание и первоначальная настройка Open Single Management Platform

Следуя этому сценарию, вы можете развернуть Open Single Management Platform со всеми компонентами, необходимыми для работы Open Single Management Platform, а также выполнить необходимые предварительные настройки и интеграции.

Предварительные требования

Перед тем как начать, убедитесь в следующем:

• Вам нужно использовать лицензионный ключ для Open Single Management Platform и совместимых EPP-программ.
• Ваша инфраструктура соответствует требованиям к аппаратному и программному обеспечению.

Этапы

Основной сценарий установки и первоначальной настройки состоит из следующих этапов:

1. Развертывание

   Подготовьте свою инфраструктуру к развертыванию Open Single Management Platform и всех необходимых компонентов для Open Single Management Platform и разверните решение с помощью утилиты Kaspersky Deployment Toolkit.

2. Активация

   Активируйте по лицензии решение Open Single Management Platform.

3. Настройка мультитенантности

   Если требуется, вы можете использовать возможности мультитенантности:

   1. Спланируйте и создайте требуемую иерархию тенантов.
   2. Создайте соответствующую иерархию Серверов администрирования в Open Single Management Platform.
   3. Привяжите тенанты к соответствующим Серверам администрирования.
   4. Создайте учетные записи для всех пользователей Open Single Management Platform и назначьте роли.
4. Добавление активов

   Устройства в вашей инфраструктуре, которые необходимо защитить, представлены в Open Single Management Platform как активы. Open Single Management Platform позволяет обнаруживать устройства в вашей сети и управлять их защитой. Вы также сможете добавлять активы вручную или импортировать их из других источников на этапе 8.

   Учетные записи пользователей также представлены как активы в Open Single Management Platform. Убедитесь что интеграция с Active Directory на этапе 9 настроена, чтобы включить отображение затронутых учетных записей пользователей в связанных событиях, алертах и инцидентах.

5. Добавление пользователей и назначение ролей

   Назначьте роли учетным записям пользователей, чтобы определить их права доступа к различным функциям Open Single Management Platform в зависимости от их задач.

6. Подключение к SMTP-серверу

   Настройте подключение к SMTP-серверу для получения уведомлений по электронной почте о событиях, возникающих в Open Single Management Platform.

7. Установка приложений и решений для защиты конечных точек

   Open Single Management Platform работает с событиями, полученными от приложений безопасности, установленных на ваших активах. Проверьте список совместимых приложений и решений "Лаборатории Касперского". Вы можете использовать Open Single Management Platform для развертывания приложений "Лаборатории Касперского" на устройствах в вашей инфраструктуре.

   Убедитесь, что приложения защиты конечных точек интегрированы с Kaspersky Anti Targeted Attack Platform. Например, если вы используете Kaspersky Endpoint Security на своих активах, обратитесь к одной из следующих справок, чтобы узнать, как настроить интеграцию с KATA:

   • Kaspersky Endpoint Security для Windows
   • Kaspersky Endpoint Security для Linux
   • Kaspersky Endpoint Security для Mac
8. Настройка источников событий, хранения и корреляции

   Укажите, откуда должны быть получены события, а также как они должны храниться и обрабатываться:

   1. Войдите в Консоль KUMA.
   2. Настройте интеграцию Kaspersky Unified Monitoring and Analysis Platform и Open Single Management Platform.
   3. Импортируйте активы из Open Single Management Platform.
   4. Добавьте активы вручную или импортируйте их из других источников (необязательно).
   5. Настройте источники событий, чтобы указать, откуда вы хотите получать события.
   6. Создайте хранилище для событий.
   7. Создайте коллекторы для приема, обработки (нормализации) и передачи событий.
   8. Создайте корреляторы для первоначального анализа нормализованных событий и их дальнейшей обработки.

      При создании коллектора вы можете создать правила корреляции, которые определяют правила обработки и реагирования на события, а также импортировать ранее сохраненные правила корреляции или использовать готовый набор правил корреляции, входящий в состав решения Open Single Management Platform. После создания коррелятора вы можете связать правила корреляции с коррелятором, если это необходимо.

      Рекомендуется настроить исключения на этом этапе, чтобы избежать ложных срабатываний и нерелевантных данных.

9. Настройка интеграций

   Настройте интеграцию Open Single Management Platform с Active Directory и другими решениями "Лаборатории Касперского", чтобы расширить его возможности и обогатить данные, доступные для расследования инцидентов.

   1. Интеграция с Active Directory (рекомендуется).
   2. Интеграция с KATA/EDR (требуется лицензия).
   3. Интеграция с Kaspersky CyberTrace (необязательная интеграция; требуется лицензия).
   4. Интеграция с Kaspersky TIP (необязательная интеграция; требуется лицензия) или Kaspersky Open TIP.
   5. Интеграция с Kaspersky Automated Security Awareness Platform (необязательная интеграция; требуется лицензия).
10. Настройка обновлений

    Создайте задачу Загрузка обновлений в хранилище Сервера администрирования.

11. Проверка корректности конфигурации

    Используйте тестовый файл EICAR на одном из активов. Если первоначальная настройка была выполнена правильно и были настроены необходимые правила корреляции, это событие вызовет создание алерта в списке алертов.

После завершения первоначальной настройки события от защищаемых активов будут получены и обработаны Open Single Management Platform, а из событий правила корреляции будет создан алерт.

[Topic 274392]

Проверка настройки Open Single Management Platform

Вы можете использовать тестовый "вирус" EICAR на одном из активов, чтобы убедиться, что Open Single Management Platform правильно развернут и настроен. Если первоначальная настройка была выполнена правильно и были настроены необходимые правила корреляции, соответствующее событие вызовет создание алерта в списке алертов.

Чтобы проверить настройку Open Single Management Platform:

1. Создайте коррелятор в Консоли KUMA.

   При создании коррелятора не указывайте параметры в разделе Корреляция.

2. Импортируйте правила корреляции из пакета SOC Content, чтобы получить предустановленные правила корреляции, используемые для обнаружения тестового "вируса" EICAR.
3. Укажите правило корреляции для созданного коррелятора.

   Вы можете указать правило корреляции одним из следующих способов:

   • Свяжите предустановленное правило корреляции с созданным коррелятором:
     1. Перейдите в раздел Ресурсы, нажмите на Правила корреляции и выберите тенант, к которому будет применяться правило корреляции.
     2. В списке предустановленных правил корреляции выберите правило R077_02_KSC.Malware detected, чтобы обнаруживать события Kaspersky Security Center.
     3. Нажмите на Связать с коррелятором и выберите созданный коррелятор, чтобы связать выбранное правило корреляции с коррелятором.
   • Создайте правило корреляции с предустановленными фильтрами вручную:
     1. Откройте параметры созданного коррелятора, перейдите в раздел Корреляция и нажмите на кнопку Добавить.
     2. В окне Создание правила корреляции на вкладке Общие задайте следующие параметры, так же как и другие параметры:
        • Вид: простой.
        • Наследуемые поля: DestinationAddress, DestinationHostName, DestinationAccountID, DestinationAssetID, DestinationNtDomain, DestinationProcessName, DestinationUserName, DestinationUserID, SourceAccountID, SourceUserName.
     3. Перейдите в раздел Селекторы → Параметры и укажите выражение для фильтрации необходимых событий:
        • В режиме конструктора добавьте фильтры событий KSC, Обнаружен вирус приложением KSC и Базовые события с помощью оператора AND.
        • Также вы можете указать это выражение в режиме исходного кода следующим образом:

          filter='b308fc22-fa79-4324-8fc6-291d94ef2999'

          AND filter='a1bf2e45-75f4-45c1-920d-55f5e1b8843f'

          AND filter='1ffa756c-e8d9-466a-a44b-ed8007ca80ca'

     4. В разделе Действия в параметрах правила корреляции установите только флажок Вывод (флажки Цикл для коррелятора и Нет алертов должны быть сняты). В этом случае при обнаружении тестового "вируса" EICAR будет создано событие корреляции и в списке алертов Open Single Management Platform будет создан алерт.
     5. Нажмите на кнопку Создать сейчас, чтобы сохранить параметры правила корреляции, связанные с коррелятором.
4. Создайте и настройте в Консоли KUMA коллектор для получения информации о событиях Сервера администрирования из базы данных MS SQL.

   Также вы можете использовать предустановленный коллектор [OOTB] KSC SQL.

5. В разделе параметров коллектора Маршрутизация установите Тип коррелятора и укажите созданный коррелятор в поле URL, чтобы пересылать ему обработанные события.
6. Установите Агент администрирования и приложение защиты конечных точек (например, Kaspersky Endpoint Security) на актив в сети вашей организации. Убедитесь, что актив подключен к Серверу администрирования.
7. Поместите тестовый файл EICAR на актив, а затем обнаружьте тестовый "вирус" с помощью приложения защиты конечных точек.

После этого Сервер администрирования получит уведомление о событии на активе. Это событие будет перенаправлено в компонент KUMA, преобразовано в событие корреляции, после чего в Open Single Management Platform будет создан алерт в списке алертов. Если алерт создан, значит Open Single Management Platform работает правильно.

[Topic 264024]

Использование функций мониторинга, обнаружения и поиска угроз

После установки и настройки Open Single Management Platform вы можете использовать функции Open Single Management Platform для мониторинга безопасности вашей инфраструктуры, расследования инцидентов безопасности, автоматизации рабочих процессов и автоматического поиска угроз:

• Использование панели мониторинга и настройка веб-виджетов

  Вкладка Обнаружение и реагирование по панели мониторинга может содержать веб-виджеты, которые отображают информацию о зарегистрированных алертах и инцидентах, а также действиях по реагированию на них. Вы можете использовать и настраивать предварительно настроенные макеты веб-виджетов для своей панели мониторинга или создавать макеты и веб-виджеты.

  Open Single Management Platform также предоставляет различные инструменты для мониторинга безопасности и создания отчетов.

• Использование отчетов

  Вы можете настроить формирование отчетов в Kaspersky Unified Monitoring and Analysis Platform для получения необходимых сводных данных по указанному расписанию.

• Использование поиска угроз

  Вы можете использовать инструменты поиска угроз для анализа событий и поиска угроз и уязвимостей, которые не были обнаружены автоматически. Поиск угроз можно использовать как для расследования инцидентов и алертов, так и для предупреждающего поиска угроз.

• Использование плейбуков

  Вы можете использовать плейбуки для автоматизации действий по реагированию на алерты и инциденты в соответствии с заданным алгоритмом. Существует ряд предустановленных плейбуков, которые вы можете запускать в различных режимах работы. Вы можете создавать пользовательские плейбуки.

[Topic 264018]

Пример расследования инцидента с помощью Open Single Management Platform

Этот сценарий представляет собой пример рабочего процесса расследования инцидента.

Расследование инцидента проходит поэтапно:

1. Назначение алерта пользователю

   Вы можете назначить алерт себе или другому пользователю.

2. Проверка совпадения сработавшего правила корреляции с данными событий алерта

   Просмотрите информацию об алерте и убедитесь, что данные о событии алерта соответствуют сработавшему правилу корреляции.

3. Анализ информации об алерте

   Проанализируйте информацию об алерте, чтобы определить, какие данные требуются для дальнейшего анализа алерта.

4. Обогащение вручную

   Запустите доступные решения для дополнительного обогащения события (например, Kaspersky TIP).

5. Проверка ложного срабатывания

   Убедитесь, что действие, запустившее правило корреляции, является аномальным для ИТ-инфраструктуры организации.

6. Создание инцидента

   Если шаги с 3 по 5 показывают, что алерт требует расследования, вы можете создать инцидент или связать алерт с существующим инцидентом.

   Вы также можете объединить инциденты.

7. Расследование

   Этот шаг включает в себя просмотр информации об активах, учетных записях пользователей и алертах, связанных с инцидентом. Вы можете использовать граф расследования и инструменты поиска угроз, чтобы получить дополнительную информацию.

8. Поиск связанных активов

   Вы можете просмотреть алерты, которые возникли на активах, связанных с инцидентом.

9. Поиск связанных событий

   Вы можете расширить область расследования, выполнив поиск событий связанных алертов.

10. Запись причин инцидента

    Вы можете записать информацию, необходимую для расследования, в журнал изменений инцидента.

11. Действие по реагированию

    Вы можете выполнять действия по реагированию вручную.

12. Закрытие инцидента

    После принятия мер по удалению следов присутствия злоумышленника в ИТ-инфраструктуре организации можно закрыть инцидент.

[Topic 249211]

Развертывание Open Single Management Platform

Следуя этому сценарию, вы можете подготовить инфраструктуру к развертыванию Open Single Management Platform и всех необходимых компонентов, подготовить конфигурационный файл, содержащий параметры установки, и развернуть решение с помощью утилиты Kaspersky Deployment Toolkit (далее также KDT).

Прежде чем приступить к развертыванию Open Single Management Platform и компонентов Open Single Management Platform, рекомендуется прочитать Руководство по усилению защиты.

Сценарий развертывания состоит из следующих этапов:

1. Выбор варианта развертывания Open Single Management Platform

   Выберите конфигурацию Open Single Management Platform, наиболее подходящую для вашей организации. Доступно развертывание на нескольких узлах и на одном узле:

2. Загрузка дистрибутива с компонентами Open Single Management Platform

   В состав дистрибутива входят следующие компоненты:

   • Транспортный архив, который содержит компоненты Open Single Management Platform и Лицензионные соглашения Open Single Management Platform и KDT.
   • Архив с утилитой KDT, а также шаблоны конфигурационного файла и файл инвентаря KUMA.
3. Установка системы управления базами данных (СУБД)

   Для развертывания на нескольких узлах вручную установите СУБД на отдельном сервере за пределами кластера Kubernetes.

   Для развертывания на одном узле вручную установите СУБД на целевом устройстве перед развертыванием Open Single Management Platform. В этом случае компоненты СУБД и Open Single Management Platform устанавливаются на одном и том же целевом устройстве, но СУБД не будет включена в кластер Kubernetes.

   Если вы выполняете демонстрационное развертывание и хотите установить СУБД внутри кластера, пропустите этот шаг. KDT установит СУБД во время развертывания Open Single Management Platform.

4. Подготовка устройства администратора и целевых устройств

   С учетом выбранной схемы развертывания определите количество целевых устройств, на которых вы будете разворачивать кластер Kubernetes и компоненты Open Single Management Platform, входящие в этот кластер. Подготовьте выбранные устройства администратора и целевые машины к развертыванию Open Single Management Platform.

   Инструкции:

   • Развертывание на нескольких узлах: подготовка устройства администратора и целевых устройств.
   • Развертывание на одном узле: подготовка устройства администратора и целевых устройств.
5. Подготовка устройств KUMA

   Подготовьте целевые устройства KUMA для установки сервисов KUMA (коллекторы, корреляторы и хранилища).

   Инструкции: Подготовка устройств к установке сервисов KUMA.

6. Подготовка файла инвентаря KUMA для установки сервисов KUMA

   Подготовьте файл инвентаря KUMA в формате YAML. Файл инвентаря KUMA содержит параметры для установки сервисов KUMA

   Инструкции: Подготовка файла инвентаря KUMA.

7. Подготовка конфигурационного файла

   Подготовьте конфигурационный файл в формате YAML. Конфигурационный файл содержит список целевых устройств для развертывания и набор параметров для установки компонентов Open Single Management Platform.

   Если вы разворачиваете Open Single Management Platform на отдельном узле, используйте конфигурационный файл, содержащий параметры установки, предназначенные для развертывания на одном узле.

   Инструкции:

   • Развертывание на нескольких узлах: параметры установки
   • Развертывание на одном узле: параметры установки

   Вы можете заполнить шаблон конфигурационного файла вручную либо вы можете использовать мастер настройки, чтобы указать параметры установки, необходимые для развертывания Open Single Management Platform, и сгенерировать конфигурационный файл.

   Инструкции: Указание параметров установки с помощью мастера настройки.

8. Развертывание Open Single Management Platform

   Разверните Open Single Management Platform с помощью KDT. KDT автоматически разворачивает кластер Kubernetes, в котором установлены компоненты Open Single Management Platform и другие компоненты инфраструктуры.

   Инструкции: Установка Open Single Management Platform.

9. Установка сервисов KUMA

   Установите сервисы KUMA (коллекторы, корреляторы и хранилища) на подготовленные целевые устройства KUMA, расположенные вне кластера Kubernetes.

   Инструкции: Установка сервисов KUMA.

10. Настройка интеграции с Kaspersky Anti Targeted Attack Platform

    Установите Central Node, чтобы получать телеметрию от Kaspersky Anti Targeted Attack Platform, а затем настройте интеграцию Open Single Management Platform и KATA/KEDR для управления действиями по реагированию на угрозы на активах, подключенных к серверам Kaspersky Endpoint Detection and Response.

    При необходимости вы можете установить несколько компонентов Central Node, чтобы использовать их независимо друг от друга или объединить для централизованного управления в режиме распределенного решения. Чтобы объединить несколько компонентов Central Node, вам нужно организовать серверы с компонентами в иерархию.

    Двухуровневая иерархия серверов с установленными компонентами Central Node. Эта иерархия выделяет первичный управляющий сервер (Primary Central Node (PCN)) и вторичные серверы (Secondary Central Nodes (SCN)).

    При настройке серверов Central Node вам нужно указать минимально возможное значение в поле Хранилище, чтобы избежать дублирования данных между базами Open Single Management Platform и KEDR.

[Topic 245736]

Руководство по усилению защиты

Приложение Open Single Management Platform предназначено для централизованного решения основных задач по управлению и обслуживанию системы защиты сети организации. Приложение предоставляет администратору доступ к детальной информации об уровне безопасности сети организации. Open Single Management Platform позволяет настраивать все компоненты защиты, построенной на основе приложений "Лаборатории Касперского".

Сервер администрирования имеет полный доступ к управлению защитой клиентских устройств и является важнейшим компонентом системы защиты организации. Поэтому для Сервера администрирования требуются усиленные меры защиты.

В Руководстве по усилению защиты описаны рекомендации и особенности настройки Open Single Management Platform и его компонентов для снижения рисков его компрометации.

Руководство по усилению защиты содержит следующую информацию:

• выбор схемы развертывания Сервера Администрирования;
• настройка безопасного подключения к Серверу Администрирования;
• настройка учетных записей для работы с Сервером администрирования;
• управление защитой Сервера администрирования;
• управление защитой клиентских устройств;
• настройка защиты управляемых приложений;
• обслуживание Сервера администрирования;
• передача информации в сторонние системы;
• рекомендации по безопасности сторонних информационных систем.

[Topic 270657]

Управление инфраструктурой Open Single Management Platform

В этой статье описан общий принцип использования минимально необходимого количества приложений для работы операционной системы и Open Single Management Platform. Также в этой статье описан принцип минимальных привилегий, который сводится к концепции нулевого доверия.

Управление учетными записями операционной системы

Для работы с кластером Kubernetes с помощью KDT рекомендуется создать отдельного пользователя с минимальными правами. Оптимальным способом является реализация управления учетными записями пользователей операционной системы с помощью LDAP с возможностью отзыва прав пользователей через LDAP. Информацию о конкретной реализации отзыва прав и блокировки пользователей см. в руководстве пользователя/администратора в вашем решении LDAP. Рекомендуется использовать пароль длиной не менее 18 символов или парольную фразу, содержащую не менее 4 слов с любыми разделителями, для аутентификации пользователя. Также можно использовать физические средства аутентификации (например, токен).

Также рекомендуется защищать корневую директорию документов пользователя и все вложенные директории таким образом, чтобы только пользователь имел к ним доступ. Другие пользователи и группа пользователей не должны иметь прав на корневую директорию документов.

Рекомендуется не предоставлять права на запуск для директорий .ssh, .kube, .config и .kdt, а также для всех файлов, содержащихся в этих директориях в корневой директории документов пользователя.

Управление пакетами операционной системы

Рекомендуется использовать минимальный набор приложений, необходимый для работы KDT и Open Single Management Platform. Например, вам не нужно использовать графический пользовательский интерфейс для работы в кластере Kubernetes, поэтому не рекомендуется устанавливать графические пакеты. Если пакеты установлены, рекомендуется удалить эти пакеты, включая графические серверы, такие как Xorg или Wayland.

Рекомендуется регулярно устанавливать обновления безопасности для системного программного обеспечения и ядра Linux. Также рекомендуется включить автоматическое обновление следующим образом:

• Для операционных систем с диспетчером пакетов atp:

  /etc/apt/apt.conf.d/50unattended-upgrades

  Unattended-Upgrade::Allowed-Origins { "${distro_id}:${distro_codename}-security"; "${distro_id}ESMApps:${distro_codename}-apps-security"; "${distro_id}ESM:${distro_codename}-infra-security"; };
• Для операционных систем с диспетчером пакетов rp, dnf и yum:

  /etc/dnf/automatic.conf

  [commands] # Какое обновление выполнить: # default = все доступные обновления # security = только обновления безопасности upgrade_type = default # Следует ли скачивать обновления, когда они будут доступны, # dnf-automatic.timer. notifyonly.timer, download.timer и # install.timer отменяют этот параметр. download_updates = yes # Следует ли применять обновления, когда они будут доступны, # dnf-automatic.timer. notifyonly.timer, download.timer и # install.timer отменяют этот параметр. apply_updates = no

Параметры безопасности операционной системы

Параметры безопасности ядра Linux можно включить в файле /etc/sysctl.conf или с помощью команды sysctl. Рекомендуемые параметры безопасности ядра Linux перечислены во фрагменте файла /etc/sysctl.conf:

/etc/sysctl.conf

Рекомендуется ограничить доступ к PID. Это уменьшит вероятность того, что один пользователь будет отслеживать процессы другого пользователя. Вы можете ограничить доступ к PID при монтировании файловой системы /proc, например, добавив следующую строку в файл /etc/fstab:

Если процессы операционной системы управляются с помощью системы systemd, служба systemd-logind по-прежнему может контролировать процессы других пользователей. Для корректной работы пользовательских сессий в системе systemd необходимо создать файл /etc/systemd/system/systemd-logind.service.d/hidepid.conf и добавить в него следующие строки:

Так как в некоторых системах может не быть группы proc, рекомендуется добавить группу proc заранее.

С помощью команды systemctl mask ctrl-alt-del.target рекомендуется выключить комбинацию клавиш Ctrl+Alt+Del, чтобы предотвратить неожиданную перезагрузку операционной системы.

Рекомендуется запретить аутентификацию привилегированных пользователей (пользователей root) для установки удаленного подключения пользователя.

Рекомендуется использовать сетевой экран для ограничения сетевой активности. Об используемых портах и протоколах см. в разделе Порты, используемые Open Single Management Platform.

Рекомендуется включить auditd, чтобы упростить расследование инцидентов безопасности. О включении перенаправления телеметрии см. в разделе Настройка получения событий Auditd.

Рекомендуется регулярно создавать резервные копии следующих конфигураций и директорий данных:

• Устройство администратора: ~/kdt
• Целевое устройство: /etc/k0s/, /var/lib/k0s

Также рекомендуется зашифровать эти резервные копии.

Руководства по усилению защиты для различных операционных систем и СУБД

Если вам нужно настроить параметры безопасности вашей операционной системы и программного обеспечения, вы можете использовать рекомендации, предоставленные Center for Internet Security (CIS).

Если вы используете операционную систему Astra Linux, обратитесь к рекомендациям по безопасности, которые можно применить к вашей версии Astra Linux.

Если вам необходимо настроить параметры безопасности PostgreSQL, воспользуйтесь рекомендациями по администрированию сервера из официальной документации PostgreSQL.

[Topic 245773]

Безопасность соединения

Строгие параметры TLS

Рекомендуется использовать протокол TLS версии 1.2 или выше и ограничить или запретить использование небезопасных алгоритмов шифрования.

Вы можете настроить протоколы шифрования (TLS), используемые Сервером администрирования. При этом учитывайте, что на момент выпуска определенной версии Open Single Management Platform параметры протокола шифрования по умолчанию настроены так, чтобы обеспечить безопасную передачу данных.

Ограничение доступа к базе данных Open Single Management Platform

Рекомендуется ограничить доступ к базе данных Open Single Management Platform. Например, разрешить доступ только с устройств, на которых установлен Open Single Management Platform. Это позволит снизить вероятность взлома базы данных Open Single Management Platform через известные уязвимости.

Вы можете настроить параметры в соответствии с руководством по эксплуатации используемой базы данных, а также предусмотреть закрытые порты на сетевых экранах.

[Topic 245774]

Учетные записи и авторизация

Использование двухэтапной проверки Open Single Management Platform

Open Single Management Platform обеспечивает двухэтапную проверку для пользователей на основе стандарта RFC 6238 (TOTP: Time-Based One-Time Password Algorithm).

Если для вашей учетной записи включена двухэтапная проверка, каждый раз при входе в Open Single Management Platform с помощью браузера вы вводите свое имя пользователя, пароль и дополнительный одноразовый код безопасности. Для того чтобы получить одноразовый код безопасности, вам нужно установить приложение для аутентификации на своем компьютере или мобильном устройстве.

Существуют как программные, так и аппаратные аутентификаторы (токены), поддерживающие стандарт RFC 6238. Например, к программным аутентификаторам относятся Google Authenticator, Microsoft Authenticator, FreeOTP.

Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Open Single Management Platform. Например, вы можете установить приложение для аутентификации на мобильном устройстве.

Использование двухфакторной аутентификации операционной системы

Рекомендуется использовать многофакторную аутентификацию (MFA) на устройствах с развернутым Open Single Management Platform с помощью токена, смарт-карты или другим способом (если это возможно).

Запрет на сохранение пароля администратора

При работе с Open Single Management Platform через браузер не рекомендуется сохранять пароль администратора в браузере на устройстве пользователя.

Авторизация внутреннего пользователя

По умолчанию пароль внутренней учетной записи пользователя Open Single Management Platform должен соответствовать следующим требованиям:

• Длина пароля должна быть от 8 до 16 символов.

• Пароль должен содержать символы как минимум трех групп из списка ниже:

  • верхний регистр (A–Z);

  • нижний регистр (a–z);

  • числа (0–9);

  • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).

• Пароль не должен содержать пробелов, символов Юникода или комбинации "." и "@", когда "." расположена перед "@".

По умолчанию максимальное количество попыток ввода пароля равно 10. Вы можете изменить количество попыток ввода пароля.

Пользователь может вводить неверный пароль ограниченное количество раз. После этого учетная запись пользователя блокируется на час.

Ограничение назначения роли Главного администратора

Пользователю назначается роль Главного администратора в списке контроля доступа (ACL) Open Single Management Platform. Не рекомендуется назначать роль Главного администратора большому количеству пользователей.

Настройка прав доступа к функциям приложения

Рекомендуется использовать возможности гибкой настройки прав доступа пользователей и групп пользователей к разным функциям Open Single Management Platform.

Управление доступом на основе ролей позволяет создавать типовые роли пользователей с заранее настроенным набором прав и присваивать эти роли пользователям в зависимости от их служебных обязанностей.

Основные преимущества ролевой модели управления доступом:

• простота администрирования;
• иерархия ролей;
• принцип наименьшей привилегии;
• разделение обязанностей.

Вы можете воспользоваться встроенными ролями и присвоить их определенным сотрудникам на основе должностей либо создать полностью новые роли.

При настройке ролей требуется уделить особое внимание привилегиям, связанным с изменением состояния защиты устройства с Open Single Management Platform и удаленной установкой стороннего программного обеспечения:

• Управление группами администрирования.
• Операции с Сервером администрирования.
• Удаленная установка.
• Изменение параметров хранения событий и отправки уведомлений.

  Эта привилегия позволяет настроить уведомления, которые запускают скрипт или исполняемый модуль на устройстве с OSMP при возникновении события.

Отдельная учетная запись для удаленной установки приложений

Помимо базового разграничения прав доступа, рекомендуется ограничить возможность удаленной установки приложений для всех учетных записей, кроме "Главного администратора" или иной специализированной учетной записи.

Рекомендуется использовать отдельную учетную запись для удаленной установки приложений. Вы можете назначить роль или разрешения отдельной учетной записи.

Регулярный аудит всех пользователей

Рекомендуется проводить регулярный аудит всех пользователей на устройстве, где развернуто приложение Open Single Management Platform. Это позволит реагировать на некоторые типы угроз безопасности, связанные с возможной компрометацией устройства.

[Topic 245776]

Управление защитой Open Single Management Platform

Выбор программного обеспечения защиты Open Single Management Platform

В зависимости от типа развертывания Open Single Management Platform и общей стратегии защиты выберите приложение для защиты устройств с развернутым Open Single Management Platform и устройства администратора.

Если вы разворачиваете Open Single Management Platform на выделенных устройствах, рекомендуется выбрать приложение Kaspersky Endpoint Security для защиты устройств с развернутым Open Single Management Platform и устройства администратора. Это позволит применить все имеющиеся технологии для защиты этих устройств, в том числе модули поведенческого анализа.

Если Open Single Management Platform разворачивается на устройствах, которые уже существуют в инфраструктуре и ранее использовались для выполнения других задач, рекомендуются следующие приложения защиты:

• Kaspersky Industrial CyberSecurity for Nodes. Это приложение рекомендуется устанавливать на устройства, входящие в промышленную сеть. Kaspersky Industrial CyberSecurity for Nodes – это приложение, имеющее сертификаты совместимости с различными производителями промышленного программного обеспечения.
• Рекомендованные приложения безопасности. Если Open Single Management Platform развернут на устройствах с другим программным обеспечением, нужно ознакомиться с рекомендациями производителя программного обеспечения по использованию антивирусных приложений (возможно, уже существуют рекомендации по выбору приложения защиты, и, вероятно, вам потребуется выполнить настройку доверенной зоны).

Модули защиты

Если отсутствуют особые рекомендации от производителя стороннего программного обеспечения, установленного на тех же устройствах, что и Open Single Management Platform, рекомендуется активировать и настроить все доступные модули защиты (после проверки их работы в течение определенного времени).

Настройка сетевого экрана устройств с Open Single Management Platform

На устройствах с развернутым Open Single Management Platform рекомендуется настроить сетевой экран, чтобы ограничить количество устройств, с которых администраторы могут подключаться к Open Single Management Platform через браузер.

По умолчанию

Open Single Management Platform использует порт 443 для входа в систему через браузер. Рекомендуется ограничить число устройств, с которых Open Single Management Platform может управляться по этим портам.

[Topic 245787]

Управление защитой клиентских устройств

Ограничение добавления лицензионных ключей в инсталляционные пакеты

Инсталляционные пакеты можно публиковать с помощью Веб-сервера, входящего в состав Open Single Management Platform. Если вы добавите лицензионный ключ в инсталляционный пакет, опубликованный на Веб-сервере, лицензионный ключ будет доступен для чтения всем пользователям.

Для того чтобы избежать компрометации лицензионного ключа, не рекомендуется добавлять лицензионные ключи в инсталляционные пакеты.

Рекомендуется использовать автоматическое распространение лицензионных ключей на управляемые устройства, выполнять развертывание с помощью задачи Добавление лицензионного ключа для управляемого приложения и добавлять код активации или файл ключа на устройства вручную.

Правила автоматического перемещения устройств между группами администрирования

Рекомендуется ограничить использование правил автоматического перемещения устройств между группами администрирования.

Использование правил автоматического перемещения может привести к тому, что на устройство будут распространены политики, предоставляющие более широкий набор привилегий, чем было до перемещения.

Перемещение клиентского устройства в другую группу администрирования может привести к распространению на него параметров политик. Эти параметры политик могут быть нежелательны к распространению на гостевые и недоверенные устройства.

Эта рекомендация, не относится к первоначальному распределению устройств по группам администрирования.

Требования к безопасности к устройствам с точками распространения и шлюзам соединений

Устройства с установленным Агентом администрирования могут использоваться в качестве точки распространения и выполнять следующие функции:

• Распространять обновления и инсталляционные пакеты, полученные от Open Single Management Platform, на клиентские устройства в группе.
• Выполнять удаленную установку приложений сторонних производителей и приложений "Лаборатории Касперского" на клиентские устройства.
• Опрашивать сеть с целью обнаружения новых устройств и обновления информации об уже известных устройствах. Точка распространения может использовать те же методы обнаружения устройств, что и Open Single Management Platform.

Размещение точек распространения в сети организации используется для следующих задач:

• снижение нагрузки на Open Single Management Platform;
• оптимизация трафика;
• предоставление Open Single Management Platform доступа к устройствам в труднодоступных частях сети.

С учетом доступных возможностей рекомендуется защитить, в том числе физически, устройства, выполняющие роль точек распространения, от любого типа несанкционированного доступа.