Чтобы настроить пересылку событий из KATA в SIEM-систему KUMA:

1. Перейдите в веб-консоль центрального узла KATA: установите флажок Локальный администратор и введите данные учетной записи Администратора.

2. Перейдите в раздел Параметры → SIEM-система.
3. Заполните необходимые поля:
   • Данные для отправки: установите флажки Журнал активности и Обнаружения.
   • Хост/IP: введите ip-адрес или fqdn-адрес коллектора KUMA.
   • Порт: введите порт коллектора KUMA.
   • Протокол: выберите TCP или UDP.
   • ID хоста: введите идентификатор хоста сервера, который будет указан в журнале SIEM-системы как источник обнаружения.
   • Периодичность сигнала: введите количество минут от 1 до 59.
   • TLS-шифрование: по умолчанию отключено, при необходимости включите.
4. Нажмите Применить.

После настройки передачи событий в KATA создайте коллектор в веб-интерфейсе KUMA:

1. Откройте KUMA, перейдите в раздел Ресурсы и выберите Коллекторы.

2. Выберите нужную папку и нажмите Добавить.
3. Заполните поля в разделе Подключение источников по своему усмотрению.
4. Перейдите в раздел Транспорт и укажите тип и порт коллектора в соответствии с настройками на стороне KATA.

5. Перейдите в раздел Парсинг событий и нажмите Добавить парсинг событий.
6. Выберите [OOTB] KATA в раскрывающемся списке Нормализатор и нажмите OK.

7. Проверьте, что в разделе Маршрутизация в набор ресурсов коллектора добавлены точки назначения Хранилище и Коррелятор.
   Если точки назначения отсутствуют, добавьте их.

8. Перейдите в раздел Проверка параметров и нажмите Сохранить и создать сервис.

9. Скопируйте команду для установки коллектора KUMA.

10. Добавьте в начало скопированной команды sudo и выполните ее на сервере с ролью Коллектор:

Пример: