Проверка настройки Kaspersky MSP

Вы можете использовать тестовый "вирус" EICAR на одном из активов, чтобы убедиться, что Kaspersky SMP правильно развернут и настроен. Если первоначальная настройка была выполнена правильно и были настроены необходимые правила корреляции, соответствующее событие вызовет создание алерта в списке алертов.

Чтобы проверить настройку Kaspersky MSP:

1. Создайте коррелятор в Консоли KUMA.

   При создании коррелятора не указывайте параметры в разделе Корреляция.

2. Импортируйте правила корреляции из пакета SOC Content, чтобы получить предустановленные правила корреляции, используемые для обнаружения тестового "вируса" EICAR.
3. Укажите правило корреляции для созданного коррелятора.

   Вы можете указать правило корреляции одним из следующих способов:

   • Свяжите предустановленное правило корреляции с созданным коррелятором:
     1. Перейдите в раздел Ресурсы, нажмите на Правила корреляции и выберите тенанта, к которому будет применяться правило корреляции.
     2. В списке предустановленных правил корреляции выберите правило R077_02_KSC.Malware detected, чтобы обнаруживать события Kaspersky Security Center.
     3. Нажмите на Связать с коррелятором и выберите созданный коррелятор, чтобы связать выбранное правило корреляции с коррелятором.
   • Создайте правило корреляции с предустановленными фильтрами вручную:
     1. Откройте параметры созданного коррелятора, перейдите в раздел Корреляция и нажмите на кнопку Добавить.
     2. В окне Создание правила корреляции на вкладке Общие задайте следующие параметры, так же как и другие параметры:
        • Вид: простой.
        • Наследуемые поля: DestinationAddress, DestinationHostName, DestinationAccountID, DestinationAssetID, DestinationNtDomain, DestinationProcessName, DestinationUserName, DestinationUserID, SourceAccountID, SourceUserName.
     3. Перейдите в раздел Селекторы → Параметры и укажите выражение для фильтрации необходимых событий:
        • В режиме конструктора добавьте фильтры событий KSC, Обнаружен вирус программой KSC и Базовые события с помощью оператора AND.
        • Также вы можете указать это выражение в режиме исходного кода следующим образом:

          filter='b308fc22-fa79-4324-8fc6-291d94ef2999'

          AND filter='a1bf2e45-75f4-45c1-920d-55f5e1b8843f'

          AND filter='1ffa756c-e8d9-466a-a44b-ed8007ca80ca'

     4. В разделе Действия в параметрах правила корреляции установите только флажок Вывод (флажки Цикл для коррелятора и Нет алертов должны быть сняты). В этом случае при обнаружении тестового "вируса" EICAR будет создано событие корреляции и алерт будет создан в списке алертов Kaspersky SMP.
     5. Нажмите на кнопку Создать сейчас, чтобы сохранить параметры правила корреляции, связанные с коррелятором.
4. Создайте и настройте в Консоли KUMA коллектор для получения информации о событиях Сервера администрирования из базы данных MS SQL.

   Также вы можете использовать предустановленный коллектор [OOTB] KSC SQL.

5. В разделе параметров коллектора Маршрутизация установите Тип коррелятора и укажите созданный коррелятор в поле URL, чтобы пересылать ему обработанные события.
6. Установите Агент администрирования и программу защиты конечных точек (например, Kaspersky Endpoint Security) на актив в сети вашей организации. Убедитесь, что актив подключен к Серверу администрирования.
7. Поместите тестовый файл EICAR на актив, а затем обнаружьте тестовый "вирус" с помощью программы защиты конечных точек.

После этого Сервер администрирования получит уведомление о событии на активе. Это событие будет перенаправлено в компонент KUMA, преобразовано в событие корреляции, после чего в Kaspersky SMP будет создан алерт в списке алертов. Если алерт создан, значит Kaspersky SMP работает правильно.