Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr

Для импорта событий Kaspersky Endpoint Detection and Response с хостов с помощью коннектора kata/edr вам нужно выполнить следующие действия:

1. Настроить получение событий в консоли KUMA.

   Для этого вам нужно создать и установить в KUMA коллектор с коннектором kata/edr или отредактировать существующий коллектор, а затем сохранить измененные параметры и перезапустить коллектор.

2. Принять на стороне КEDR запрос авторизации от KUMA, чтобы события начали поступать в KUMA.

Интеграция будет настроена, и события KEDR будут поступать в KUMA.

Создание коллектора для получения событий из KEDR

Чтобы создать коллектор для получения событий из KEDR:

1. Войдите в консоль KUMA одним из следующих способов:
   • В главном меню консоли Kaspersky SMP перейдите в Параметры → KUMA.
   • В браузере перейдите по адресу https://kuma.<smp_domain>:7220.
2. Перейдите в Ресурсы → Коллекторы и нажмите на кнопку Добавить коллектор.
3. В открывшемся окне Создание коллектора на шаге 1 Подключение источников укажите произвольное название коллектора и выберите в раскрывающемся списке подходящий тенант.
4. На шаге 2 Транспорт выполните следующие действия:
   • На вкладке Основные параметры:
     1. В поле Коннектор выберите Создать или в этом же поле начните набирать название коннектора, если хотите использовать уже созданный коннектор.
     2. В раскрывающемся списке Тип коннектора выберите коннектор kata/edr.

        Появятся дополнительные поля для заполнения.

     3. В поле URL укажите адрес подключения к серверу KEDR в формате <имя устройсва или IP-адрес устройства>:<порт подключения, по умолчанию 443>. Если KEDR развернут в кластере, с помощью кнопки Добавить вы можете добавить все узлы. KUMA будет подключаться последовательно к каждому указанному узлу. Если КEDR установлен в распределенной конфигурации, на стороне KUMA необходимо настроить отдельный коллектор для каждого сервера KEDR.
     4. В поле Секрет выберите Создать, чтобы создать новый секрет. В открывшемся окне Создание секрета укажите название секрета и нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения.

        В результате в папку загрузок браузера, например Загрузки, будет скачан архив certificate.zip, который содержит файл ключа key.pem и файл сертификата cert.pem. Распакуйте архив.

        В консоли KUMA нажмите Загрузить сертификат и выберите cert.pem. Нажмите Загрузить закрытый ключ и выберите key.pem. Нажмите Создать, после этого секрет будет добавлен в раскрывающийся список Секрет и будет автоматически выбран.

        Также вы можете выбрать из списка Секрет созданный секрет, с этим секретом KUMA будет подключаться к KEDR.

     5. Поле Внешний ID содержит идентификатор для внешних систем. Этот идентификатор отображается в веб-интерфейсе KEDR при авторизации сервера KUMA. KUMA генерирует идентификатор автоматически и поле Внешний ID будет автоматически предзаполнено.
   • При необходимости на вкладке Дополнительные параметры:
     1. Если вы хотите получать детализированную информацию в журнале коллектора, переведите переключатель Отладка в активное положение.
     2. В поле Кодировка символов выберите кодировку исходных данных, к которым будет применена конвертация в UTF-8. Мы рекомендуем применять конвертацию только в том случае, если в полях нормализованного события отображаются недопустимые символы. По умолчанию значение не выбрано.
     3. Укажите Максимальное количество событий в одном запросе к KEDR. По умолчанию указано значение 0. Это означает, что KUMA использует значение, заданное на сервере KEDR (подробнее см. в Справке KATA). Вы можете указать произвольное значение, не превышающее значение на стороне KEDR. Если указанное вами значение превысит значение параметра Максимальное количество событий, заданное на сервере KEDR, в журнале коллектора KUMA будет ошибка "Bad Request: max_events N is greater than allowed value".
     4. Если требуется указать время, по истечении которого сервер KEDR должен передавать события в KUMA, заполните поле Время ожидания получения событий. По умолчанию указано значение 0. Это означает, что применяется значение, заданное по умолчанию на сервере KEDR (подробнее см. в Справке KATA).

        На сервере KEDR действует два параметра: максимальное количество событий и время ожидания получения событий. Передача событий происходит в зависимости от того, что произойдет раньше – будет собрано указанное количество событий или истечет заданное время. Если время истекло, а заданного количества событий не набралось, сервер KEDR передаст те события, которые есть.

     5. В поле Время ожидания ответа укажите максимальное значение ожидания ответа от сервера KEDR в секундах. Значение по умолчанию: 1800 сек, отображается как 0. В поле Время ожидания ответа указано клиентское ограничение. Значение параметра Время ожидания ответа должно быть больше, чем серверное Время ожидания получения событий, чтобы не прервать текущую задачу сбора событий новым запросом и дождаться ответа сервера. Если ответ от сервера KEDR все же не поступил, KUMA повторит запрос.
     6. В поле Фильтр KEDRQL укажите условия фильтрации запроса, чтобы со стороны KEDR поступали уже отфильтрованные события. Подробнее о доступных полях для фильтрации см. в Справке KATA.
5. На шаге 3 Парсинг нажмите Добавить парсинг событий и в открывшемся окне Основной парсинг событий выберите в раскрывающемся списке нормализатор [ООТВ] KEDR telemetry.
6. Завершите создание коллектора в веб-интерфейсе, нажав Сохранить и создать сервис. Затем скопируйте в веб-интерфейсе команду установки коллектора и выполните команду установки в интерпретаторе командной строки на целевом устройстве KUMA, где вы хотите установить коллектор.

   Пример команды установки коллектора:

   sudo /opt/kaspersky/kuma/kuma collector --core https://<KUMA Core server FQDN>:7210 --id <service ID copied from the KUMA Console> --api.port <port used for communication with the installed component>

   По умолчанию полное доменное имя Ядра KUMA – kuma.<smp_domain>. Порт, который используется для подключения к Ядру KUMA, невозможно изменить. По умолчанию номер порта – 7210.

   Если вы редактировали существующий коллектор, нажмите Сохранить и перезапустить сервисы.

Коллектор создан и готов к отправке запросов. При этом коллектор будет отображаться в разделе Ресурсы → Активные сервисы в желтом статусе, пока на стороне КEDR не будет принят запрос авторизации от KUMA.

Авторизация KUMA на стороне KEDR

После того как в KUMA создан коллектор, на стороне KEDR необходимо принять запрос авторизации KUMA, чтобы запросы от KUMA начали поступать в KEDR. После принятой авторизации коллектор KUMA автоматически по расписанию отправляет запрос в KEDR и ждет ответа. Все время ожидания статус коллектора будет желтый, а после получения первого ответа на отправленный запрос статус коллектора сменится на зеленый.

В результате интеграция настроена и вы можете просмотреть поступающие из KEDR события в разделе KUMA → События.

При первом запросе поступит часть исторических событий, которые произошли до настройки интеграции. Когда все исторические события поступят, начнут поступать текущие события. Если вы измените значение параметра URL или Внешний ID для существующего коллектора, KEDR примет запрос как новый и после запуска коллектора KUMA с измененными параметрами вы снова получите часть исторических событий. Если вы не хотите получать исторические события, перейдите в параметры настройки нужного коллектора, настройте в нормализаторе сопоставление полей timestamp KEDR и KUMA и на шаге мастера установки коллектора Фильтрация событий укажите фильтр по параметру timestamp так, чтобы значение timestamp для событий было больше, чем значение timestamp для запуска коллектора.

Возможные ошибки и способы решения

Если в журнале коллектора возникает ошибка "Conflict: An external system with the following ip and certificate digest already exists. Either delete it or provide a new certificate", необходимо создать новый секрет с новым сертификатом в коннекторе коллектора.

Если в журнале коллектора возникает ошибка "Continuation token not found" в ответ на запрос событий, нужно создать новый коннектор, прикрепить его к коллектору и перезапустить коллектор или создать новый секрет с новым сертификатом в коннекторе коллектора. Если нет необходимости получать события, которые были сформированы до возникновения ошибки, следует настроить в коллекторе фильтр по параметру timestamp.