Настройка передачи событий из KICS for Networks (версий 4.3 и 4.5) в KUMA

Настройка интеграции выполняется в два этапа: сначала создается и настраивается коллектор в KUMA, затем создается коннектор в KICS for Networks.

1. Настройка KUMA

1. Перейдите в раздел «Ресурсы»«Ресурсы» и откройте вкладку «Коллекторы»«Коллекторы».
   

   

2. Нажмите кнопку ««+ Создать»Создать».

   

3. В открывшемся окне укажите название коллектора. Рекомендуется использовать наименование продукта, тип подключения и порт (например, KICS_for_Networks_TCP\5160), чтобы в дальнейшем легко идентифицировать коллектор.

   

4. На вкладке «Транспорт»«Транспорт» укажите тип соединения (протокол) и порт, который будет использоваться для приема событий от источника.

   

5. На вкладке ««Парсинг событий»событий» - ««Настройки парсинга»парсинга» выберите соответствующий нормализатор для обработки входящих событий.

   

6. На вкладке «Маршрутизация»«Маршрутизация» добавьте ранее созданные коррелятор и хранилище. Подробнее о развертывании этих компонентов см. в Справке по KUMA.

   

7. На вкладке ««Проверка параметров»параметров» нажмите кнопку ««Сохранить и создать сервис»сервис».

   

8. После создания коллектора скопируйте сгенерированную команду и выполните её в терминале сервера KUMA с правами администратора для развертывания сервиса.

   

2. Настройка KICS for Networks

1. Перейдите в раздел «Параметры»«Параметры» - «Коннекторы»«Коннекторы» и нажмите кнопку ««+ Добавить коннектор»коннектор».
2. В карточке нового коннектора заполните поля:

• Тип коннектора: SIEM.
• Имя коннектора: Произвольное наименование.
• Адрес сервера: IP-адрес узла, на котором развернут сервер KICS for Networks.
• Узел размещения коннектора: Server.
• Пользователь программы: Учетная запись администратора KICS for Networks.
• Адрес SIEM-сервера: IP-адрес узла, на котором развернут сервер KUMA.
• Номер порта: Порт, указанный при настройке коллектора KUMA (см. п. 4 раздела ««Настройка KUMA»KUMA»).
• Транспортный протокол: Протокол, указанный при настройке коллектора KUMA (см. п. 4 раздела ««Настройка KUMA»KUMA»).

  

3. Нажмите кнопку «Сохранить»«Сохранить».
4. Убедитесь, что в свойствах созданного коннектора параметры имеют следующие значения:

··         Включен: Да.

··         Статус: Работает.

Если значения отличаются, проверьте выполненные настройки и перезапустите коннектор (выполните последовательность «Выключить»«Выключить» - «Включить»«Включить»).

5. Перейдите в раздел ««Параметры»Параметры» - ««Типы событий»событий». Выберите типы событий, которые необходимо передавать в KUMA, и активируйте для них отправку через созданный коннектор.

   

3. Проверка передачи событий

1. В интерфейсе KUMA перейдите в раздел «События»«События» и выполните опрос источников.

    

   
2. Убедитесь в наличии событие об успешной аутентификации коннектора, которое должно появиться в момент его создания в KICS for Networks.

    

   

3. Воспроизведите событие безопасности, например, запустите тестовый вирус на узле, который интегрирован с KICS for Networks.

   

4. Убедитесь, что сработал модуль постоянной защиты KICS for Nodes (детектирование события на стороне источника).

   

5. В интерфейсе KUMA снова перейдите в раздел «События»«События» и выполните опрос.

   

6. Убедитесь, что воспроизведенное событие безопасности успешно доставлено и отображается в KUMA.