Проверка настройки Kaspersky MSP
Вы можете использовать тестовый "вирус" EICAR на одном из активов, чтобы убедиться, что Kaspersky SMP правильно развернут и настроен. Если первоначальная настройка была выполнена правильно и были настроены необходимые правила корреляции, соответствующее событие вызовет создание алерта в списке алертов.
Чтобы проверить настройку Kaspersky MSP:
- Создайте коррелятор в Консоли KUMA.
При создании коррелятора не указывайте параметры в разделе Корреляция.
- Импортируйте правила корреляции из пакета SOC Content, чтобы получить предустановленные правила корреляции, используемые для обнаружения тестового "вируса" EICAR.
- Укажите правило корреляции для созданного коррелятора.
Вы можете указать правило корреляции одним из следующих способов:
- Свяжите предустановленное правило корреляции с созданным коррелятором:
- Перейдите в раздел Ресурсы, нажмите на Правила корреляции и выберите тенанта, к которому будет применяться правило корреляции.
- В списке предустановленных правил корреляции выберите правило R077_02_KSC.Malware detected, чтобы обнаруживать события Kaspersky Security Center.
- Нажмите на Связать с коррелятором и выберите созданный коррелятор, чтобы связать выбранное правило корреляции с коррелятором.
- Создайте правило корреляции с предустановленными фильтрами вручную:
- Откройте параметры созданного коррелятора, перейдите в раздел Корреляция и нажмите на кнопку Добавить.
- В окне Создание правила корреляции на вкладке Общие задайте следующие параметры, так же как и другие параметры:
- Вид: простой.
- Наследуемые поля: DestinationAddress, DestinationHostName, DestinationAccountID, DestinationAssetID, DestinationNtDomain, DestinationProcessName, DestinationUserName, DestinationUserID, SourceAccountID, SourceUserName.
- Перейдите в раздел Селекторы → Параметры и укажите выражение для фильтрации необходимых событий:
- В режиме конструктора добавьте фильтры событий KSC, Обнаружен вирус программой KSC и Базовые события с помощью оператора AND.
- Также вы можете указать это выражение в режиме исходного кода следующим образом:
filter='b308fc22-fa79-4324-8fc6-291d94ef2999'
AND filter='a1bf2e45-75f4-45c1-920d-55f5e1b8843f'
AND filter='1ffa756c-e8d9-466a-a44b-ed8007ca80ca'
- В разделе Действия в параметрах правила корреляции установите только флажок Вывод (флажки Цикл для коррелятора и Нет алертов должны быть сняты). В этом случае при обнаружении тестового "вируса" EICAR будет создано событие корреляции и алерт будет создан в списке алертов Kaspersky SMP.
- Нажмите на кнопку Создать сейчас, чтобы сохранить параметры правила корреляции, связанные с коррелятором.
- Свяжите предустановленное правило корреляции с созданным коррелятором:
- Создайте и настройте в Консоли KUMA коллектор для получения информации о событиях Сервера администрирования из базы данных MS SQL.
Также вы можете использовать предустановленный коллектор [OOTB] KSC SQL.
- В разделе параметров коллектора Маршрутизация установите Тип коррелятора и укажите созданный коррелятор в поле URL, чтобы пересылать ему обработанные события.
- Установите Агент администрирования и программу защиты конечных точек (например, Kaspersky Endpoint Security) на актив в сети вашей организации. Убедитесь, что актив подключен к Серверу администрирования.
- Поместите тестовый файл EICAR на актив, а затем обнаружьте тестовый "вирус" с помощью программы защиты конечных точек.
После этого Сервер администрирования получит уведомление о событии на активе. Это событие будет перенаправлено в компонент KUMA, преобразовано в событие корреляции, после чего в Kaspersky SMP будет создан алерт в списке алертов. Если алерт создан, значит Kaspersky SMP работает правильно.