Развертывание и первоначальная настройка Kaspersky SMP
Следуя этому сценарию, вы можете развернуть Kaspersky SMP со всеми компонентами, необходимыми для работы Kaspersky SMP, а также выполнить необходимые предварительные настройки и интеграции.
Предварительные требования
Перед тем как начать, убедитесь в следующем:
- Вам нужно использовать лицензионный ключ для Kaspersky SMP и совместимых EPP-программ.
- Ваша инфраструктура соответствует требованиям к аппаратному и программному обеспечению.
Этапы
Основной сценарий установки и первоначальной настройки состоит из следующих этапов:
- Развертывание
Подготовьте свою инфраструктуру к развертыванию Kaspersky SMP и всех необходимых компонентов для Kaspersky SMP и разверните решение с помощью утилиты Kaspersky Deployment Toolkit.
- Активация
- Настройка мультитенантности
Если требуется, вы можете использовать возможности мультитенантности:
- Спланируйте и создайте требуемую иерархию тенантов.
- Создайте соответствующую иерархию Серверов администрирования в Kaspersky SMP.
- Привяжите тенанты к соответствующим Серверам администрирования.
- Создайте учетные записи для всех пользователей Kaspersky SMP и назначьте роли.
- Добавление активов
Устройства в вашей инфраструктуре, которые необходимо защитить, представлены в Kaspersky SMP как активы. Kaspersky SMP позволяет обнаруживать устройства в вашей сети и управлять их защитой. Вы также сможете добавлять активы вручную или импортировать их из других источников на этапе 8.
Учетные записи пользователей также представлены как активы в Kaspersky SMP. Убедитесь что интеграция с Active Directory на этапе 9 настроена, чтобы включить отображение затронутых учетных записей пользователей в связанных событиях, алертах и инцидентах.
- Добавление пользователей и назначение ролей
Назначьте роли учетным записям пользователей, чтобы определить их права доступа к различным функциям Kaspersky SMP в зависимости от их задач.
- Подключение к SMTP-серверу
Настройте подключение к SMTP-серверу для получения уведомлений по электронной почте о событиях, возникающих в Kaspersky SMP.
- Установка программ и решений для защиты конечных точек
Kaspersky SMP работает с событиями, полученными от программ безопасности, установленных на ваших активах. Проверьте список совместимых программ и решений "Лаборатории Касперского". Вы можете использовать Kaspersky SMP для развертывания программ "Лаборатории Касперского" на устройствах в вашей инфраструктуре.
Убедитесь, что программы защиты конечных точек интегрированы с Kaspersky Anti Targeted Attack Platform. Например, если вы используете Kaspersky Endpoint Security на своих активах, обратитесь к одной из следующих справок, чтобы узнать, как настроить интеграцию с KATA:
- Настройка источников событий, хранения и корреляции
Укажите, откуда должны быть получены события, а также как они должны храниться и обрабатываться:
- Войдите в консоль KUMA.
- Настройте интеграцию Kaspersky Unified Monitoring and Analysis Platform и Kaspersky SMP.
- Импортируйте активы из Kaspersky SMP.
- Добавьте активы вручную или импортируйте их из других источников (необязательно).
- Настройте источники событий, чтобы указать, откуда вы хотите получать события.
- Создайте хранилище для событий.
- Создайте коллекторы для приема, обработки (нормализации) и передачи событий.
- Создайте корреляторы для первоначального анализа нормализованных событий и их дальнейшей обработки.
При создании коллектора вы можете создать правила корреляции, которые определяют правила обработки и реагирования на события, а также импортировать ранее сохраненные правила корреляции или использовать готовый набор правил корреляции, входящий в состав решения Kaspersky SMP. После создания коррелятора вы можете связать правила корреляции с коррелятором, если это необходимо.
Рекомендуется настроить исключения на этом этапе, чтобы избежать ложных срабатываний и нерелевантных данных.
- Настройка интеграций
Настройте интеграцию Kaspersky SMP с Active Directory и другими решениями "Лаборатории Касперского", чтобы расширить его возможности и обогатить данные, доступные для расследования инцидентов.
- Интеграция с Active Directory (рекомендуется).
- Интеграция с KATA/EDR (требуется лицензия).
- Интеграция с Kaspersky CyberTrace (необязательная интеграция; требуется лицензия).
- Интеграция с Kaspersky TIP (необязательная интеграция; требуется лицензия) или Kaspersky Open TIP.
- Интеграция с Kaspersky Automated Security Awareness Platform (необязательная интеграция; требуется лицензия).
- Настройка обновлений
Создайте задачу Загрузка обновлений в хранилище Сервера администрирования.
- Проверка корректности конфигурации
Используйте тестовый файл eicar на одном из активов. Если первоначальная настройка была выполнена правильно и были настроены необходимые правила корреляции, это событие вызовет создание алерта в списке алертов.
После завершения первоначальной настройки события от защищаемых активов будут получены и обработаны Kaspersky SMP, а из событий правила корреляции будет создан алерт.