Как настроить получение событий Kaspersky Anti Targeted Attack Platform в SIEM-системе Kaspersky Unified Monitoring and Analysis Platform
Статья обновлена: 01 июля 2024
ID: 16056
Показать приложения и версии, для которых применима статья
- Kaspersky Anti Targeted Attack Platform 6.1;
- Kaspersky Anti Targeted Attack Platform 6.0;
- Kaspersky Anti Targeted Attack Platform 5.1;
- Kaspersky Unified Monitoring and Analysis Platform 3.2;
- Kaspersky Unified Monitoring and Analysis Platform 3.0.3;
- Kaspersky Unified Monitoring and Analysis Platform 3.0.2.
Вы можете настроить получение событий Kaspersky Anti Targeted Attack Platform (далее KATA) в SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (далее KUMA).
Для этого настройте пересылку событий из KATA и создайте коллектор KUMA для событий KATA/EDR по инструкциям ниже.
Данным способом можно пересылать:
- информацию о действиях пользователей в веб-интерфейсе приложения;
- информацию об обнаружениях;
- статус компонентов приложения.
Вы можете настроить получение исходных, не обработанных событий KATA по инструкции.
Как настроить KATA
Чтобы настроить пересылку событий из KATA в SIEM-систему KUMA:
- Перейдите в веб-консоль центрального узла KATA: установите флажок Локальный администратор и введите данные учетной записи Администратора.
- Перейдите в раздел Параметры → SIEM-система.
- Заполните необходимые поля:
- Данные для отправки: установите флажки Журнал активности и Обнаружения.
- Хост/IP: введите ip-адрес или fqdn-адрес коллектора KUMA.
- Порт: введите порт коллектора KUMA.
- Протокол: выберите TCP или UDP.
- ID хоста: введите идентификатор хоста сервера, который будет указан в журнале SIEM-системы как источник обнаружения.
- Периодичность сигнала: введите количество минут от 1 до 59.
- TLS-шифрование: по умолчанию отключено, при необходимости включите.
- Нажмите Применить.
Как настроить KUMA
После настройки передачи событий в KATA создайте коллектор в веб-интерфейсе KUMA:
- Откройте KUMA, перейдите в раздел Ресурсы и выберите Коллекторы.
- Выберите нужную папку и нажмите Добавить.
- Заполните поля в разделе Подключение источников по своему усмотрению.
- Перейдите в раздел Транспорт и укажите тип и порт коллектора в соответствии с настройками на стороне KATA.
- Перейдите в раздел Парсинг событий и нажмите Добавить парсинг событий.
- Выберите [OOTB] KATA в раскрывающемся списке Нормализатор и нажмите OK.
- Проверьте, что в разделе Маршрутизация в набор ресурсов коллектора добавлены точки назначения Хранилище и Коррелятор.
Если точки назначения отсутствуют, добавьте их.
- Перейдите в раздел Проверка параметров и нажмите Сохранить и создать сервис.
- Скопируйте команду для установки коллектора KUMA.
- Добавьте в начало скопированной команды sudo и выполните ее на сервере с ролью Коллектор:
# sudo /opt/kaspersky/kuma/kuma collector --core <адрес сервера, где должен получить свои параметры коллектор> --id <идентификатор устанавливаемого сервиса> --api.port <порт> --install
Пример:
# sudo /opt/kaspersky/kuma/kuma collector --core https://kuma.some.local:7210 --id f81aad2b-3d24-469c-93b4-2e5d0a2729b7 --api.port 7240 --install