Как создать коллектор типа wec в Kaspersky Unified Monitoring and Analysis Platform для сбора событий с WEC сервера
Статья обновлена: 01 июля 2024
ID: 16039
Показать приложения и версии, для которых применима статья
- Kaspersky Unified Monitoring and Analysis Platform 3.2;
- Kaspersky Unified Monitoring and Analysis Platform 3.0.3;
- Kaspersky Unified Monitoring and Analysis Platform 3.0.2.
Следуйте инструкции ниже, если вам необходимо настроить получение событий коллектором Kaspersky Unified Monitoring and Analysis Platform (далее KUMA) с выделенного WEC сервера, на который поступают события с инфраструктуры через подписки Windows.
События будут собираться по типу соединения агент–коллектор.
Шаг 1. Создайте коллектор для сбора событий с WEC сервера
- Откройте KUMA, перейдите в Ресурсы → Коллекторы и нажмите Добавить.
- Введите название коллектора в одноименном поле в разделе Подключение источников.
- Перейдите в раздел Транспорт и выберите wec в раскрывающемся списке Тип на вкладке Основные параметры.
- Укажите в поле URL сервер и порт, на который установлен коллектор KUMA и будут поступать события от агента.
Например, collector01.some.local:5125. - Выберите в поле Журналы Windows журналы, которые будут перенаправляться агентом KUMA на коллектор KUMA.
Например, WEC-Authentication, WEC-Service, WEC2-Registry.
- Перейдите в раздел Парсинг событий и выберите [OOTB] Microsoft Product в раскрывающемся списке Нормализатор на вкладке Схема нормализации.
- Перейдите в раздел Маршрутизация, нажмите Добавить и добавьте хранилище и коррелятор, на которые будут поступать события.
Например:- Хранилище storage: тип — storage, URL — storage01.some.local:7221 и storage02.some.local:7221.
- Коррелятор correlator: тип — correlator, URL — correlator01.some.local:7231.
- Перейдите в раздел Проверка параметров и нажмите Сохранить и создать сервис.
- Скопируйте в текстовый файл сгенерированную команду для установки коллектора и агента.
- Добавьте в начало команд sudo и выполните их на сервере с ролью Коллектор.
# sudo /opt/kaspersky/kuma/kuma collector --core <адрес сервера, где должен получить свои параметры коллектор> --id <идентификатор устанавливаемого сервиса> --api.port <порт> --install
Пример:
# sudo opt/kaspersky/kuma/kuma collector --core https://kuma.some.local:7210 --id 883c88f5-790d-4e91-afcb-709cd8794c6b --api.port 7234 --install
- Перейдите в раздел Ресурсы → Активные сервисы и убедитесь, что создан сервис коллектора с зеленым статусом и агента KUMA с красным статусом.
Статус агента красный, так как он еще не установлен на WEC сервере.
Шаг 2. Настройте передачу событий от WEC сервера в коллектор KUMA
- Откройте директорию /home/ka/kuma-ansible-installer/roles/kuma/files.
Ваша домашняя директория может отличаться. - Скопируйте из директории инсталляционный файл kuma.exe.
- Скопируйте файл kuma.exe на WEC сервер.
Если с сервера, на котором будет развернут агент, будут считываться события из журналов Windows, выполните инструкцию ниже. Если нет, перейдите к шагу 3.
- Зайдите на устройство, на котором будет развернут агент.
- Откройте Управление компьютером.
- Перейдите в Локальные пользователи и группы → Группы и откройте группу Читатели журнала событий.
- Нажмите Добавить, укажите SOME\wec_agent в поле Введите имена выбираемых объектов и нажмите OK.
- Нажмите OK.
Шаг 3. Добавьте учетную запись
Учетную запись необходимо добавить в политику только на том сервере, где установлен агент.
- Зайдите на устройство, на котором будет развернут агент.
- Откройте Редактор локальной групповой политики.
- Перейдите в Конфигурация компьютера → Конфигурация Windows → Параметры безопасности.
- Перейдите в Локальные политики → Назначение прав пользователей и откройте политику Вход в качестве службы.
- Нажмите Добавить пользователя или группу, укажите SOME\wec_agent в поле Введите имена выбираемых объектов и нажмите OK.
- Нажмите OK.
Шаг 4. Установите агент на сервер
- Перейдите в каталог со скопированным инсталляционным файлом kuma.exe.
- Проверьте, что выполнены шаги 2 и 3.
- Выполните команду, чтобы установить агент.
kuma agent --core https://<полное доменное имя сервера ядра KUMA>:<порт, используемый сервером ядра KUMA для внутренних коммуникаций (по умолчанию — 7210)> --id <идентификатор сервиса агента, созданного в KUMA> --user <домен и имя пользователя, под которым будет работать агент> --install
Пример команды:
kuma agent --core https://kuma.some.local:7210 --id 5853a91c-8e76-4c80-8241-3ae6aa76a362 --user wec_agent@some.local --install
Для выполнения команды потребуется пароль от учетной записи, под которой будет выполняться чтение и отправка событий в коллектор KUMA, и включенной в группу Читатели журнала событий и политику Вход в качестве службы.
- Откройте KUMA и перейдите в Ресурсы → Активные сервисы.
- Убедитесь, что статус агента стал зеленым.
- Поставьте флажок у коллектора WEC Collector и нажмите Перейти к событиям, чтобы проверить поступление событий.