Настройка передачи событий из KICS for Networks (версий 4.3 и 4.5) в KUMA

Настройка интеграции выполняется в два этапа: сначала создается и настраивается коллектор в KUMA, затем создается коннектор в KICS for Networks.

1. Настройка KUMA

1. Перейдите в раздел «Ресурсы» и откройте вкладку «Коллекторы».
   

   

2. Нажмите кнопку «+ Создать».

   

3. В открывшемся окне укажите название коллектора. Рекомендуется использовать наименование продукта, тип подключения и порт (например, KICS_for_Networks_TCP\5160), чтобы в дальнейшем легко идентифицировать коллектор.

   

4. На вкладке «Транспорт» укажите тип соединения (протокол) и порт, который будет использоваться для приема событий от источника.

   

5. На вкладке «Парсинг событий» - «Настройки парсинга» выберите соответствующий нормализатор для обработки входящих событий.

   

6. На вкладке «Маршрутизация» добавьте ранее созданные коррелятор и хранилище. Подробнее о развертывании этих компонентов см. в Справке по KUMA.

   

7. На вкладке «Проверка параметров» нажмите кнопку «Сохранить и создать сервис».

   

8. После создания коллектора скопируйте сгенерированную команду и выполните её в терминале сервера KUMA с правами администратора для развертывания сервиса.

   

2. Настройка KICS for Networks

1. Перейдите в раздел «Параметры» - «Коннекторы» и нажмите кнопку «+ Добавить коннектор».
2. В карточке нового коннектора заполните поля:

• Тип коннектора: SIEM.
• Имя коннектора: Произвольное наименование.
• Адрес сервера: IP-адрес узла, на котором развернут сервер KICS for Networks.
• Узел размещения коннектора: Server.
• Пользователь программы: Учетная запись администратора KICS for Networks.
• Адрес SIEM-сервера: IP-адрес узла, на котором развернут сервер KUMA.
• Номер порта: Порт, указанный при настройке коллектора KUMA (см. п. 4 раздела «Настройка KUMA»).
• Транспортный протокол: Протокол, указанный при настройке коллектора KUMA (см. п. 4 раздела «Настройка KUMA»).

  

3. Нажмите кнопку «Сохранить».
4. Убедитесь, что в свойствах созданного коннектора параметры имеют следующие значения:

·         Включен: Да.

·         Статус: Работает.

Если значения отличаются, проверьте выполненные настройки и перезапустите коннектор (выполните последовательность «Выключить» - «Включить»).

5. Перейдите в раздел «Параметры» - «Типы событий». Выберите типы событий, которые необходимо передавать в KUMA, и активируйте для них отправку через созданный коннектор.

   

3. Проверка передачи событий

1. В интерфейсе KUMA перейдите в раздел «События» и выполните опрос источников.

    

   
2. Убедитесь в наличии событие об успешной аутентификации коннектора, которое должно появиться в момент его создания в KICS for Networks.

    

   

3. Воспроизведите событие безопасности, например, запустите тестовый вирус на узле, который интегрирован с KICS for Networks.

   

4. Убедитесь, что сработал модуль постоянной защиты KICS for Nodes (детектирование события на стороне источника).

   

5. В интерфейсе KUMA снова перейдите в раздел «События» и выполните опрос.

   

6. Убедитесь, что воспроизведенное событие безопасности успешно доставлено и отображается в KUMA.