Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr

Чтобы импортировать события Kaspersky Endpoint Detection and Response версии 5.1 и выше с устройства с помощью коннектора kata/edr:

  1. Выполните настройку на стороне KUMA для получения событий. Для этого создайте и установите в KUMA коллектор с коннектором 'kata/edr' или измените существующий коллектор, а затем сохраните измененные параметры и перезапустите коллектор.
  2. На стороне КEDR примите запрос авторизации от KUMA, чтобы события начали поступать в KUMA.

В результате интеграция будет настроена и события KEDR будут поступать в KUMA.

Создание коллектора для получения событий из KEDR

Чтобы создать коллектор для получения событий из KEDR:

  1. В Консоли перейдите в раздел РесурсыКоллекторы и выберите Добавить коллектор.
  2. В открывшемся окне Создание коллектора на шаге Подключение источников укажите произвольное Название коллектора и выберите в раскрывающемся списке нужный Тенант.
  3. На шаге 2 Транспортировка выполните следующие действия:
    1. На вкладке Основные параметры:
      1. В поле Коннектор выберите Создать или в том же поле начните набирать название коннектора, если хотите использовать уже созданный коннектор.
      2. В раскрывающемся списке Тип коннектора выберите коннектор kata/edr. После того, как вы выберите тип коннектора kata/edr, отобразятся дополнительные поля для заполнения.
      3. В поле URL укажите адрес подключения к серверу KEDR в формате <имя устройства или IP-адрес устройства>:<порт подключения, по умолчанию 443>. Если решение KEDR развернуто в кластере, с помощью кнопки Добавить вы можете добавить все узлы. KUMA будет подключаться последовательно к каждому указанному узлу. Если решение КEDR установлено в распределенной конфигурации, на стороне KUMA необходимо настроить отдельный коллектор для каждого сервера KEDR.
      4. В поле Секрет выберите Создать, чтобы создать новый секрет. В открывшемся окне Создание секрета укажите Название и нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения.

        В результате в папку загрузок браузера Загрузки скачивается архив certificate.zip, который содержит файл ключа key.pem и файл сертификата cert.pem. Извлеките архив. Нажмите Загрузить сертификат и выберите файл cert.pem. Нажмите Загрузить закрытый ключ и выберите key.pem. Нажмите на кнопку Создать. Секрет добавлен в раскрывающийся список Секрет, который выбирается автоматически.

        Также можно выбрать созданный секрет из списка Секрет. KUMA использует выбранный секрет для подключения к KEDR.

      5. Поле Внешний ID содержит идентификатор для внешних систем. Этот идентификатор отображается в веб-интерфейсе KEDR при авторизации сервера KUMA. KUMA генерирует идентификатор автоматически и поле Внешний ID будет автоматически предзаполнено.
    2. На вкладке Дополнительные параметры:
      1. Чтобы получать детализированную информацию в журнале коллектора, переведите переключатель Отладка в активное положение.
      2. При необходимости в поле Кодировка символов выберите кодировку исходных данных, к которым будет применена конвертация в UTF-8. Мы рекомендуем применять конвертацию только в том случае, если в полях нормализованного события отображаются недопустимые символы. По умолчанию значение не выбрано.
      3. Укажите Максимальное количество событий в одном запросе к KEDR. По умолчанию указано значение 0. Это означает, что KUMA использует значение, заданное на сервере KEDR. Подробную информацию см. в справке KATA. Вы можете указать произвольное значение, не превышающее значение на стороне KEDR. Если указанное вами значение превысит значение параметра Максимальное количество событий, заданное на сервере KEDR, в журнале коллектора KUMA будет ошибка "Bad Request: max_events N is greater than allowed value".
      4. Заполните поле Время ожидания получения событий, чтобы получать события по истечении заданного периода. По умолчанию указано значение 0. Это означает, что применяется значение, заданное по умолчанию на сервере KEDR. Подробную информацию см. в справке KATA. В этом поле указано время, по истечении которого сервер KEDR передаст KUMA события. Сервер KEDR использует два параметра: максимальное количество событий и время ожидания получения событий. События отправляются, когда накапливается указанное количество событий или по истечении заданного времени, в зависимости от того, что произойдет раньше. Если заданное время истекло, а заданного количества событий не набралось, сервер KEDR передаст те, что есть.
      5. В поле Время ожидания ответа укажите максимальное значение ожидания ответа от сервера KEDR в секундах. Значение по умолчанию: 1800 сек, отображается как 0. В поле Время ожидания ответа указано клиентское ограничение. Значение параметра Время ожидания ответа должно быть больше, чем серверное Время ожидания получения событий, чтобы не прервать текущую задачу сбора событий новым запросом и дождаться ответа сервера. Если ответ от сервера KEDR все же не поступил, KUMA повторит запрос.
      6. В поле Фильтр KEDRQL укажите условия фильтрации запроса. В результате со стороны KEDR будут поступать уже отфильтрованные события. Подробнее о доступных полях для фильтрации см. в справке KATA.
  4. На шаге 3 Парсинг нажмите Добавить парсинг событий и в открывшемся окне Основной парсинг событий выберите в раскрывающемся списке нормализатор [ООТВ] KEDR telemetry.
  5. Чтобы завершить создание коллектора в веб-интерфейсе, нажмите Создать и сохранить сервис. Затем скопируйте в веб-интерфейсе команду установки коллектора и выполните команду установки в интерпретаторе командной строки на сервере, где вы хотите установить коллектор.

    Если вы редактировали существующий коллектор, нажмите Сохранить и перезапустить сервисы.

В результате коллектор создан и готов к отправке запросов. Коллектор будет отображаться в разделе РесурсыАктивные сервисы в желтом статусе, пока на стороне КEDR не будет принят запрос авторизации от KUMA.

Авторизация KUMA на стороне KEDR

После того, как в KUMA создан коллектор, необходимо на стороне KEDR принять запрос авторизации KUMA, чтобы запросы от KUMA начали поступать в KEDR. После принятой авторизации коллектор KUMA автоматически по расписанию отправляет запрос в KEDR и ждет ответа. Все время ожидания статус коллектора будет желтый, а после получения первого ответа на отправленный запрос статус коллектора сменится на зеленый.

В результате интеграция настроена и вы можете просмотреть поступающие из KEDR события в разделе KUMA → События.

При первом запросе поступит часть исторических событий, которые произошли до момента интеграции. Когда все исторические события поступят, начнут поступать текущие события. Если вы измените значение параметра URL или Внешний ID для существующего коллектора, KEDR примет запрос как новый и после запуска коллектора KUMA с измененными параметрами вы снова получите часть исторических событий. Если вы не хотите получать исторические события, перейдите в настройки нужного коллектора, настройте в нормализаторе сопоставление полей timestamp KEDR и KUMA, и на шаге мастера установки коллектора "Фильтрация событий" укажите фильтр по timestamp так, чтобы timestamp событий был больше, чем timestamp запуска коллектора.

Возможные ошибки и способы решения

Если журнал коллектора содержит ошибку "Conflict: An external system with the following ip and certificate digest already exists. Either delete it or provide a new certificate", необходимо создать секрет с новым сертификатом в коннекторе коллектора.

Если в журнале коллектора возникает ошибка "Continuation token not found" в ответ на запрос событий, нужно создать коннектор, прикрепить его к коллектору и перезапустить коллектор или создать секрет с новым сертификатом в коннекторе коллектора. Если нет необходимости получать события, которые были сформированы до возникновения ошибки, следует настроить в коллекторе фильтр по Timestamp.

В начало