Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Приложение Kaspersky Endpoint Security устанавливается на отдельных компьютерах, входящих в IT-инфраструктуру организации, и осуществляет постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Данные о событиях на компьютере (телеметрия) отправляются на сервер Kaspersky Unified Monitoring and Analysis Platform (KUMA). KUMA показывает события в своей консоли в виде списка без разметки, как в журнале событий Windows. Для доступа ко всем функциям KUMA вам нужно приобрести лицензию на решение и развернуть решение в соответствии с Руководством администратора KUMA.

Интеграция с KUMA

Для работы KUMA должны быть выполнены следующие условия:

• Kaspersky Security Center версии 14.2 или выше. В более ранних версиях Kaspersky Security Center невозможно активировать функциональность интеграции с KUMA.
• Приложение активировано и функциональность входит в лицензию.
• Компонент интеграции с KUMA включен.

Интеграция с KUMA состоит из следующих этапов:

1. Установка компонента для интеграции c KUMA

   Вы можете выбрать компонент для интеграции с KUMA во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

   Для завершения обновления приложения с новым компонентом нужно перезагрузить компьютер.

2. Активация KUMA

   Вам потребуется отдельная лицензия для интеграции Kaspersky Endpoint Security с KUMA (Kaspersky Endpoint Security для Windows KUMA Integration Add-on).

   Функциональность будет доступна после добавления отдельного ключа KUMA. В результате на компьютере будет еще один активный ключ для интеграции Kaspersky Endpoint Security с KUMA.

   Лицензирование отдельной функциональности KUMA не отличается от лицензирования Kaspersky Endpoint Security.

   Убедитесь, что функциональность KUMA включена в лицензию и работает в локальном интерфейсе приложения.

3. Подключение к KUMA

   Для подключения компьютера с установленным приложением Kaspersky Endpoint Security к решению KUMA вам нужно выполнить следующие действия:

   1. В политике Kaspersky Endpoint Security добавьте адреса серверов KUMA и настройте сетевые параметры подключения.
   2. В консоли KUMA добавьте коллектор с коннекторами типа tcp или udp и настройте сетевые параметры подключения. Подробнее о работе с коллекторами см. в справке Kaspersky Unified Monitoring and Analysis Platform.

   Вы можете установить доверенное соединение между Kaspersky Endpoint Security и серверами KUMA. Для настройки доверенного соединения вам нужен TLS-сертификат. Вы можете получить TLS-сертификат на сервере Ядра KUMA (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform). Далее вам нужно добавить TLS-сертификат в Kaspersky Endpoint Security (см. инструкцию ниже).

   Чтобы сделать соединение более безопасным, вы можете включить дополнительную проверку компьютера в KUMA (двусторонняя аутентификация). Для включения такой проверки вам нужно включить двустороннюю аутентификацию в параметрах KUMA и Kaspersky Endpoint Security. Также для двусторонней аутентификации вам нужен криптоконтейнер. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом. Вам нужно сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации. Далее вам нужно добавить PFX-архив в консоли KUMA и в Kaspersky Endpoint Security (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform).

   Как подключить компьютер с Kaspersky Endpoint Security к KUMA в Консоли администрирования (MMC)

   1. Откройте Консоль администрирования Kaspersky Security Center.
   2. В дереве консоли выберите папку Политики.
   3. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
   4. В окне политики выберите Интеграция с KUMA.
   5. Установите флажок Интеграция с KUMA.
   6. Выберите протокол для подключения к серверам KUMA: TCP, UDP.
   7. Добавьте серверы KUMA. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.

      Kaspersky Endpoint Security подключается к первому серверу KUMA из списка. Если подключение не удается, Kaspersky Endpoint Security подключается ко второму серверу KUMA и так далее по списку.

   8. Для протокола TCP вы можете настроить доверенное соединение. Для этого нажмите на кнопку Настройки подключения к серверам KUMA.
   9. Настройте параметры подключения к серверам:
      • Время ожидания. Максимальное время ожидания ответа от сервера KUMA. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу KUMA.
      • TLS-сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером KUMA.

        Для доверенного соединения вам нужно в консоли KUMA в параметрах коннектора типа tcp выбрать режим TLS C верификацией (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform).

      • Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и KUMA. Для использования двусторонней аутентификации вам нужно в консоли KUMA в параметрах коннектора типа tcp выбрать режим TLS Нестандартный PFX (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform). Далее вам нужно получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. После настройки параметров KUMA вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.

        Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.

   10. Нажмите на кнопку OK.
   11. Если требуется, в блоке Настройка передачи данных настройте параметр Максимальная задержка отправки событий (сек.). По истечении указанного времени Kaspersky Endpoint Security повторно пробует подключиться к тому же серверу или подключается к следующему в списке серверу, если их несколько. По умолчанию установлено значение 30 секунд.
   12. Сохраните внесенные изменения.

   Как подключить компьютер с Kaspersky Endpoint Security к KUMA в Web Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Интеграция с KUMA.
   5. Включите переключатель Включить Интеграцию с KUMA.
   6. Выберите протокол для подключения к серверам KUMA: TCP, UDP.
   7. Добавьте серверы KUMA. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.

      Kaspersky Endpoint Security подключается к первому серверу KUMA из списка. Если подключение не удается, Kaspersky Endpoint Security подключается ко второму серверу KUMA и так далее по списку.

   8. Для протокола TCP вы можете настроить доверенное соединение. Для этого нажмите на кнопку Настройки подключения к серверам KUMA.
   9. Настройте параметры подключения к серверам:
      • Время ожидания. Максимальное время ожидания ответа от сервера KUMA. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу KUMA.
      • TLS-сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером KUMA.

        Для доверенного соединения вам нужно в консоли KUMA в параметрах коннектора типа tcp выбрать режим TLS C верификацией (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform).

      • Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и KUMA. Для использования двусторонней аутентификации вам нужно в консоли KUMA в параметрах коннектора типа tcp выбрать режим TLS Нестандартный PFX (см. параметры коннектора типа tcp в справке Kaspersky Unified Monitoring and Analysis Platform). Далее вам нужно получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. После настройки параметров KUMA вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.

        Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.

   10. Нажмите на кнопку OK.
   11. Если требуется, в блоке Настройка передачи данных настройте параметр Максимальная задержка отправки событий (сек.). По истечении указанного времени Kaspersky Endpoint Security повторно пробует подключиться к тому же серверу или подключается к следующему в списке серверу, если их несколько. По умолчанию установлено значение 30 секунд.
   12. Сохраните внесенные изменения.

Вы можете проверить, что настройка сервера источника событий Windows выполнена правильно, в консоли KUMA (см. в справке Kaspersky Unified Monitoring and Analysis Platform). Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов приложения в консоли Kaspersky Security Center. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Интеграция с KUMA.