Kaspersky Unified Monitoring and Analysis Platform
3.4
Русский

Содержание

Настройка получения событий Linux с помощью Kaspersky Endpoint Security для Linux

В KES для Linux, начиная с версии 12.2, есть возможность отправлять события из журналов Linux в коллектор KUMA. Это позволяет получить в KUMA события из журналов Linux со всех хостов, на которых установлен KES для Linux версии 12.2. Чтобы активировать функционал, необходимо:

  • иметь действующую лицензию KUMA.
  • использовать KSC 14.2 и выше.
  • использовать KES для Linux 12.2 или выше.

Настройка получения событий состоит из следующих этапов:

  1. Импорт нормализатора в KUMA.

    В KUMA должно быть настроено получение обновлений через серверы обновлений Лаборатории Касперского.

    Нажмите Импорт ресурсов и выберите [OOTB] KESL syslog cef в списке доступных к установке нормализаторов.

  2. Создание коллектора KUMA для получения событий Linux.

    Для получения событий Linux на шаге Транспорт выберите TCP или UDP и укажите номер порта, который будет прослушивать коллектор. На шаге Парсинг событий выберите нормализатор [OOTB] KESL syslog cef.

  3. Запрос ключа в Службе технической поддержки.

    Если в вашей лицензии не было ключа активации функционала оправки журналов Linux в коллектор KUMA, направьте в Службу технической поддержки письмо следующего содержания: "У нас приобретена лицензия KUMA и используется KES для Linux версии 12.2. Мы планируем активировать функционал отправки журналов Linux в коллектор KUMA. Просим предоставить файл ключа для активации соответствующего функционала". Новым пользователям KUMA не требуется писать запрос в Службу технической поддержки, поскольку новым пользователям будет предоставлено 2 ключа с лицензиями для KUMA и для активирования функционала KES для Linux.

    В ответ на письмо вам будет предоставлен файл ключа.

  4. Настройка на стороне KSC и KES для Linux.

    Файл ключа, активирующий функционал отправки событий Linux в коллекторы KUMA, необходимо импортировать в KSC и распространить по конечным устройствам KES в соответствии с инструкцией. Также необходимо в политике KES добавить адреса серверов KUMA и настроить сетевые параметры подключения.

  5. Проверка поступления событий Linux в коллектор KUMA.

    Вы можете проверить, что настройка сервера источника событий Linux выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

    KES для Linux передает следующие события:

    • ProcessCreate
    • ProcessTerminate
    • FileChange
    • New user account created
    • User account deleted
    • Group created
    • Group deleted
    • New member added to a group
    • Member removed from the group
    • User password changed
    • Linux authentication performed
    • Linux session started
    • Linux session finished
    • Service started
    • Service stopped
    • Promiscuous mode modified
    • Audit configuration changed
    • Account expiration date changed

В начало
[Topic 301648]