Kaspersky Symphony XDR: Open Single Management Platform

Содержание

Управление активами

Активы представляют собой компьютеры в организации. После добавления активов в KUMA их идентификаторы будут добавляться при обогащении событий и при анализе событий вы получите дополнительную информацию о компьютерах в организации.

Вы можете просматривать информацию об активах, искать активы по заданным критериям, редактировать их и удалять, а также экспортировать данные о них в CSV-файл.

Категории активов

Вы можете разбить активы по категориям и затем использовать категории в условиях фильтров или правил корреляции. Например, можно создавать алерты более высокого уровня важности для активов из более критичной категории. По умолчанию все активы находятся в категории Активы без категории. Устройство можно добавить в несколько категорий.

По умолчанию KUMA категориям активов присвоены следующие уровни важности: Низкий, Средний, Высокий, Критичный. Вы можете создать пользовательские категории и организовать вложенность.

Категории можно наполнять следующими способами:

  • Вручную
  • Активно: динамически, если актив соответствует заданным условиям. Например, с момента перехода актива на указанную версию ОС или размещения актива в указанной подсети актив будет перемещен в заданную категорию. Если вы указали относительный период и выбрали регулярность категоризации, например, каждый час, при каждом запуске категоризации условие будет учитывать информацию об активах, актуальную на момент запуска категоризации.
    1. В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.

      Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.

    2. В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.

      Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять, нажав на кнопку Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.

      Операнды и операторы фильтра категоризации

      Операнд

      Операторы

      Комментарий

      Номер сборки

      >, >=, =, <=, <

       

      OS.

      =, like

      Оператор like обеспечивает регистронезависимый поиск.

      IP-адрес

      inSubnet, inRange

      IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24).

      При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.

      FQDN

      =, like

      Оператор like обеспечивает регистронезависимый поиск.

      CVE

      =, in

      Оператор in позволяет указать массив значений.

      ПО

      =, like

       

      КИИ

      in

      Можно выбрать более одного значения.

      Последнее обновление антивирусных баз

      >=,<=

       

      Последнее обновление информации

      >=,<=

       

      Последнее обновление защиты

      >=,<=

       

      Время начала последней сессии

      >=,<=

       

      Расширенный статус KSC

      in

      Расширенный статус устройства.

      Можно выбрать более одного значения.

      Состояние постоянной защиты

      =

      Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.

      Статус шифрования

      =

       

      Статус защиты от спама

      =

       

      Статус антивирусной защиты почтовых серверов.

      =

       

      Статус защиты данных от утечек

      =

       

      Идентификатор расширенного статуса KSC

      =

       

      Статус Endpoint Sensor.

      =

       

      Видим в сети.

      >=,<=

       

    3. Нажмите на кнопку Условия проверки, чтобы убедиться в правильности указанного фильтра. При нажатии на кнопку откроется окно Активы, найденные по заданным условиям, содержащее список активов, удовлетворяющих условиям поиска.
  • Реактивно: при срабатывания корреляционного правила актив будет перемещаться в указанную группу.

В KUMA активы распределены по тенантам и категориям. Активы выстроены в древовидную структуру, где в корне находятся тенанты и от них ветвятся категории активов. Вы можете просмотреть дерево тенантов и категорий в разделе АктивыВсе активы веб-интерфейса KUMA. Если выбрать узел дерева, в правой части окна отображаются активы, относящиеся к соответствующей категории. Активы из подкатегорий выбранной категории отображаются, если вы укажете, что хотите отображать активы рекурсивно. Вы можете выделить флажками тенанты, активы которых хотите просматривать.

Чтобы вызвать контекстное меню категории, наведите указатель мыши на категорию и нажмите на значок с многоточием, который появится справа от названия категории. В контекстном меню доступны следующие действия:

Действия, доступные в контекстном меню категории

Действие

Описание

Показать активы

Просмотреть активы выбранной категории в правой части окна.

Отображать активы рекурсивно

Просмотреть активы из подкатегорий выбранной категории. Если вы хотите выйти из режима рекурсивного просмотра, выберите категорию для просмотра.

О категории

Просмотреть информации о выбранной категории в области деталей Информация о категории, которая отображается в правой части окна веб-интерфейса.

Начать категоризацию

Запустить автоматическую привязку активов к выбранной категории. Доступно для категорий с активным способом категоризации.

Добавить подкатегорию

Добавить подкатегорию к выбранной категории.

Изменить категорию

Изменить выбранную категорию.

Удалить категорию

Удалить выбранную категорию. Удалять можно только категории без активов или подкатегорий. В противном случае опция Удалить категорию будет неактивна.

Сделать вкладкой

Отобразить выбранную категорию на отдельной вкладке. Отменить это действие можно, выбрав в контекстном меню нужной категории Убрать из вкладок.

В этом разделе

Добавление категории активов

Настройка таблицы активов

Поиск активов

Экспорт данных об активах

Просмотр информации об активе

Добавление активов

Назначение активу категории

Изменение параметров активов

Архивирование активов

Удаление активов

Массовое удаление активов

Обновление приложений сторонних производителей и закрытие уязвимостей на активах Open Single Management Platform

Перемещение активов в выбранную группу администрирования

Аудит активов

Настраиваемые поля активов

Активы критической информационной инфраструктуры

В начало
[Topic 217935]

Добавление категории активов

Чтобы добавить категорию активов:

  1. Откройте раздел Активы веб-интерфейса KUMA.
  2. Откройте окно создания категории:
    • Нажмите на кнопку Добавить категорию.
    • Если вы хотите создать подкатегорию, в контекстном меню родительской категории выберите Добавить подкатегорию.

    В правой части окна веб-интерфейса отобразится область деталей Добавить категорию.

  3. Добавьте сведения о категории:
    • В поле Название введите название категории. Название должно содержать от 1 до 128 символов в кодировке Unicode.
    • В поле Родительская категория укажите место категории в дереве категорий:
      1. Нажмите на кнопку parent-category.

        Откроется окно Выбор категорий, в котором отображается дерево категорий. Если вы создаете новую категорию, а не подкатегорию, то в окне может отображаться несколько деревьев категорий активов: по одному для каждого доступного вам тенанта. Выбор тенанта в этом окне невозможно отменить.

      2. Выберите родительскую категорию для создаваемой вами категории.
      3. Нажмите Сохранить.

      Выбранная категория отобразится в поле Родительская категория.

    • В поле Тенант отображается тенант, в структуре которого вы выбрали родительскую категорию. Тенанта категории невозможно изменить.
    • Назначьте уровень важности категории в раскрывающемся списке Уровень важности.
    • При необходимости в поле Описание добавьте примечание: до 256 символов в кодировке Unicode.
  4. В раскрывающемся списке Способ категоризации выберите, как категория будет пополняться активами. В зависимости от выбора может потребоваться указать дополнительные параметры:
    • Вручную – активы можно привязать к категории только вручную.
    • Активно – активы будут с определенной периодичностью привязываться к категории, если удовлетворяют заданному фильтру.

      Активная категория активов

      1. В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.

        Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.

      2. В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.

        Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять, нажав на кнопку Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.

        Операнды и операторы фильтра категоризации

        Операнд

        Операторы

        Комментарий

        Номер сборки

        >, >=, =, <=, <

         

        OS.

        =, like

        Оператор like обеспечивает регистронезависимый поиск.

        IP-адрес

        inSubnet, inRange

        IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24).

        При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.

        FQDN

        =, like

        Оператор like обеспечивает регистронезависимый поиск.

        CVE

        =, in

        Оператор in позволяет указать массив значений.

        ПО

        =, like

         

        КИИ

        in

        Можно выбрать более одного значения.

        Последнее обновление антивирусных баз

        >=,<=

         

        Последнее обновление информации

        >=,<=

         

        Последнее обновление защиты

        >=,<=

         

        Время начала последней сессии

        >=,<=

         

        Расширенный статус KSC

        in

        Расширенный статус устройства.

        Можно выбрать более одного значения.

        Состояние постоянной защиты

        =

        Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.

        Статус шифрования

        =

         

        Статус защиты от спама

        =

         

        Статус антивирусной защиты почтовых серверов.

        =

         

        Статус защиты данных от утечек

        =

         

        Идентификатор расширенного статуса KSC

        =

         

        Статус Endpoint Sensor.

        =

         

        Видим в сети.

        >=,<=

         

      3. Нажмите на кнопку Условия проверки, чтобы убедиться в правильности указанного фильтра. При нажатии на кнопку откроется окно Активы, найденные по заданным условиям, содержащее список активов, удовлетворяющих условиям поиска.
    • Реактивно – категория будет наполняться активами с помощью правил корреляции.
  5. Нажмите Сохранить.

Новая категория добавлена в дерево категорий активов.

В начало
[Topic 217710]

Настройка таблицы активов

В KUMA можно настроить содержимое и порядок отображения столбцов в таблице активов. Эти параметры хранятся локально на вашем компьютере.

Чтобы настроить параметры отображения таблицы активов:

  1. Откройте раздел Активы веб-интерфейса KUMA.
  2. В правом верхнем углу таблицы активов нажмите значок gear.
  3. В раскрывшемся списке установите флажки напротив параметров, которые требуется отображать в таблице:
    • Полное доменное имя
    • IP-адрес
    • Источник актива
    • Владелец
    • MAC-адрес
    • Создан
    • Последнее обновление
    • Тенант
    • Категория КИИ
    • Архивный
    • Статус
    • Рейтинг AI

    Когда вы устанавливаете флажок, таблица активов обновляется и добавляется новый столбец. При снятии флажка столбец исчезает. Таблицу можно сортировать по некоторым столбцам.

  4. Если требуется изменить порядок отображения столбцов, зажмите левую клавишу мыши на названии столбца и перетащите его в нужное место таблицы.

Параметры отображения таблицы активов настроены.

В начало
[Topic 217772]

Поиск активов

В KUMA есть два режима поиска активов. Переключение между режимами поиска осуществляется с помощью кнопок в верхней левой части окна:

  • assetSearch-simple – простой поиск по параметрам активов Название, Полное доменное имя, IP-адрес, MAC-адрес и Владелец.
  • assetSearch-complex – сложный поиск активов с помощью фильтрации по условиям и группам условий.

Найденные активы можно выделить, установив напротив них флажки, и экспортировать данные о них в виде CSV-файла.

Простой поиск

Чтобы найти актив с помощью простого поиска:

  1. В разделе Активы веб-интерфейса KUMA нажмите на кнопку assetSearch-simple.

    В верхней части окна отображается поле Поиск.

  2. Введите поисковый запрос в поле Поиск и нажмите ENTER или значок magn-glass.

В таблице отобразятся активы, у которых параметры Название, Полное доменное имя, IP-адрес, MAC-адрес и Владелец соответствуют критериям поиска.

Сложный поиск

Чтобы найти актив с помощью сложного поиска:

  1. В разделе Активы веб-интерфейса KUMA нажмите на кнопку assetSearch-complex.

    В верхней части окна отображается блок настройки фильтрации активов.

  2. Задайте параметры фильтрации активов и нажмите на кнопку Поиск.

    Подробнее о параметрах фильтрации активов см. в таблице ниже.

В таблице отобразятся активы, которые соответствуют критериям поиска.

Сложный поиск активов производится с помощью условий фильтрации, которые можно задать в верхней части окна:

  • С помощью кнопки Добавить условие можно добавить строку с полями для определения условия.
  • С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ.
  • Условия и группы условий можно перетягивать мышкой.
  • Условия, группы и фильтры можно удалить с помощью кнопки cross.
  • Параметры фильтрации можно отобразить в компактно, нажав на кнопку Свернуть. В этом случае отображается результирующее поисковое выражение. При нажатии на него условия поиска снова отображаются полностью.
  • Параметры фильтрации можно обнулить с помощью кнопки Очистить.
  • Операторы условий и доступные значения правого операнда зависят от выбранного левого операнда:

    Левый операнд

    Доступные операторы

    Правый операнд

    Номер сборки

    =, ilike

    Произвольное значение.

    ОС

    =, ilike

    Произвольное значение.

    IP-адрес

    inSubnet, inRange

    Произвольное значение или диапазон значений.

    Условие фильтрации для оператора inSubnet выполнится, если IP-адрес, который содержится в левом операнде входит в подсеть, которая указан в правом операнде. Например, для IP-адреса 10.80.16.206 в правом операнде следует указать подсеть в короткой нотации: 10.80.16.206/25.

    Полное доменное имя

    =, ilike

    Произвольное значение.

    CVE

    =, in

    Произвольное значение.

    CVSS

    >, >=, =, <=, <

    Число от 0 до 10 (возможные значения уровня критичности уязвимости CVE на активе).

    Для уязвимостей из Open Single Management Platform неприменимо.

    Количество CVE

    >, >=, =, <=, <

    Число. Количество уникальных уязвимостей с признаком CVE на активе. Уязвимости без CVE не учитываются.

    Для поиска по количеству CVE с определенным уровнем критичности используется комбинированное условие. Например:

    Количество CVE >= 1

    CVSS >= 6.5

    ПО

    =, ilike

    Произвольное значение.

    Версия ПО

    =, ilike, in

    Произвольное значение. Номер версии (сборки) ПО, установленного на активе.

    Источник актива

    in

    • Open Single Management Platform.
    • KICS/KATA.
    • Создан вручную.

    КИИ

    in

    • Информационный ресурс не является объектом КИИ.
    • Объект КИИ без категории значимости.
    • Объект КИИ третьей категории значимости.
    • Объект КИИ второй категории значимости.
    • Объект КИИ первой категории значимости.

    ОЗУ (байтов)

    =, >, >=, <, <=

    Число.

    Количество дисков

    =, >, >=, <, <=

    Число.

    Количество сетевых карт

    =, >, >=, <, <=

    Число.

    Свободных байт на диске

    =, >, >=, <, <=

    Число.

    Группа KSC

    =, ilike

    Произвольное значение. Название группы администрирования Open Single Management Platform, в которую помещен актив.

    Последнее обновление антивирусных баз

    >=, <=

    Для поиска время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере.

    Вы можете указать дату и время для этого операнда одним из следующих способов:

    • Выбрать точную дату в календаре.
    • Выбрать период относительно настоящего времени в списке Относительный период.
    • Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов.

    Подробнее см. ниже в подразделе Использование временных значений.

    Последнее обновление информации

    >=, <=

    Для поиска время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере.

    Вы можете указать дату и время для этого операнда одним из следующих способов:

    • Выбрать точную дату в календаре.
    • Выбрать период относительно настоящего времени в списке Относительный период.
    • Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов.

    Подробнее см. ниже в подразделе Использование временных значений.

    Последнее обновление защиты

    >=, <=

    Для поиска время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере.

    Вы можете указать дату и время для этого операнда одним из следующих способов:

    • Выбрать точную дату в календаре.
    • Выбрать период относительно настоящего времени в списке Относительный период.
    • Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов.

    Подробнее см. ниже в подразделе Использование временных значений.

    Время начала последней сессии

    >=, <=

    Для поиска время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере.

    Вы можете указать дату и время для этого операнда одним из следующих способов:

    • Выбрать точную дату в календаре.
    • Выбрать период относительно настоящего времени в списке Относительный период.
    • Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов.

    Подробнее см. ниже в подразделе Использование временных значений.

    Расширенный статус KSC

    in

    • Устройство с установленным Агентом администрирования подключено к сети, но Агент администрирования неактивен.
    • Антивирусное приложение установлено, но постоянная защита не работает.
    • Антивирусное приложение установлено, но не запущено.
    • Количество обнаруженных вирусов слишком велико.
    • Антивирусное приложение установлено, но статус постоянной защиты отличается от установленного администратором безопасности.
    • Антивирусное приложение не установлено.
    • Полная проверка на вирусы выполнялась слишком давно.
    • Антивирусные базы обновлялись слишком давно.
    • Агент администрирования слишком долго был неактивен.
    • Устаревшая лицензия.
    • Количество невылеченных объектов слишком велико.
    • Требуется перезагрузка.
    • На устройстве установлено одно или несколько несовместимых приложений.
    • Устройство имеет одну или несколько уязвимостей.
    • Последний поиск обновлений операционной системы на устройстве выполнялся слишком давно.
    • Устройство не имеет надлежащего статуса шифрования.
    • Параметры мобильного устройства не соответствуют требованиям политики безопасности.
    • Есть необработанные инциденты.
    • Статус устройства был предложен управляемым приложением.
    • На устройстве недостаточно места на диске: возникают ошибки синхронизации или на диске недостаточно места.

    Статус постоянной защиты

    =

    • Приостановлена.
    • Запускается.
    • Выполняется (если антивирусное приложение не поддерживает категории состояния Выполняется).
    • Выполняется с максимальной защитой.
    • Выполняется с максимальным быстродействием.
    • Выполняется с рекомендуемыми параметрами.
    • Выполняется с пользовательскими параметрами.
    • Ошибка.

    Статус шифрования

    =

    • На устройстве нет правил шифрования.
    • Шифрование выполняется.
    • Шифрование отменено пользователем.
    • Во время шифрования произошла ошибка.
    • Все правила шифрования устройства были выполнены.
    • Шифрование выполняется, на устройстве требуется перезагрузка.
    • На устройстве есть зашифрованные файлы без указанных правил шифрования.

    Статус защиты от спама

    =

    • Неизвестно.
    • Остановлена.
    • Приостановлена.
    • Запускается.
    • Выполняется.
    • Ошибка.
    • Не установлено.
    • Лицензия отсутствует.

    Статус антивирусной защиты почтовых серверов

    =

    • Неизвестно.
    • Остановлена.
    • Приостановлена.
    • Запускается.
    • Выполняется.
    • Ошибка.
    • Не установлено.
    • Лицензия отсутствует.

    Статус защиты данных от утечек

    =

    • Неизвестно.
    • Остановлена.
    • Приостановлена.
    • Запускается.

      Выполняется.

    • Ошибка.
    • Не установлено.
    • Лицензия отсутствует.

    Идентификатор расширенного статуса KSC

    =

    • ОК.
    • Критический.
    • Требует внимания.

    Статус Endpoint Sensor

    =

    • Неизвестно.
    • Остановлена.
    • Приостановлена.
    • Запускается.
    • Выполняется.
    • Ошибка.
    • Не установлено.
    • Лицензия отсутствует.

    Последнее появление в сети

    >=, <=

    Для поиска время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере.

    Вы можете указать дату и время для этого операнда одним из следующих способов:

    • Выбрать точную дату в календаре.
    • Выбрать период относительно настоящего времени в списке Относительный период.
    • Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов.

    Подробнее см. ниже в подразделе Использование временных значений.

    Рейтинг AI

    =, >, >=, <, <=

    Число. Рейтинг активов, присвоенный AI-сервисами.

    Статус

    =, in

    Статусы активов, присвоенные AI-сервисами:

    • Низкий.
    • Средний.
    • Высокий.
    • Критический.

    Настраиваемое поле актива

    =, ilike

    Произвольное значение. Поиск по настраиваемым полям активов.

Использование временных значений

Некоторые условия, например, Последнее обновление антивирусных баз или Время начала последней сессии, используют дату и время в качестве значения операнда. Для этих условий вы можете использовать точные дату и время или относительный период.

Чтобы указать значение даты и времени:

  1. Выберите необходимый операнд, оператор и нажмите на поле даты.
  2. Выполните одно из следующих действий:
    • В календаре выберите точную дату.

      По умолчанию к выбранной дате будет автоматически добавлено текущее время с точностью до миллисекунд. При изменении даты в календаре указанное время не меняется. Дата и время отображаются в соответствии с часовым поясом браузера. При необходимости вы можете изменить дату и время в поле вручную.

    • В списке Относительный период выберите относительный период.

      Период рассчитывается относительно текущего времени поиска и учитывает актуальную на этот момент информацию об активах. Например, для условия Последнее обновление антивирусных баз вы можете выбрать значение 1 час и оператор >=, чтобы найти активы, для которых антивирусные базы не обновлялись более 1 часа.

    • В поле даты и времени введите значение вручную.

      Вы можете указать точные дату и время в формате DD.MM.YYYY HH:mm:ss.SSS для русской локализации и YYYY-MM-DD HH:mm:ss.SSS для английской локализации или относительный период в виде формулы. При необходимости вы также можете комбинировать эти способы.

      Если при вводе точной даты вы не указали миллисекунды, значение 000 подставляется автоматически.

      В формулах относительного периода используйте параметр now для обозначения текущих даты и времени и язык параметризации интервалов: символы +, -, / (округление до ближайшего), а также единицы изменения времени y (год), M (месяц), w (неделя), d (день), h (час), m (минута), s (секунда).

      Например, для условия Последнее обновление информации вы можете указать значение now-2d с оператором >= и значение now-1d с оператором >=, чтобы найти активы, информация о которых обновилась за сутки до запуска поиска; или указать значение now/w с оператором <=, чтобы найти активы, информация о которых обновилась с начала первого дня текущей недели (00:00:00:000 в UTC) до текущего времени now.

      Время в KUMA хранится в UTC, но в интерфейсе оно конвертируется в соответствии с часовым поясом вашего браузера. Это нужно учитывать для относительных периодов Сегодня, Вчера, Эта неделя и Этот месяц. Например, если в браузере установлен часовой пояс UTC+3 и вы выбрали период Сегодня, в категорию будут попадать активы за период с 03:00:00.000 до текущего времени, а не с 00:00:00.000.

      Если при выборе относительного периода Сегодня, Вчера, Эта неделя или Этот месяц вы хотите при категоризации учитывать ваш часовой пояс, вам нужно вручную добавить сдвиг по времени в поле даты и времени, прибавив или убавив необходимое количество часов. Например, если в браузере установлен часовой пояс UTC+3 и вы хотите при категоризации учитывать период Вчера, вам нужно изменить значение на now-1d/d-3h. Если же вы хотите при категоризации учитывать период Сегодня – на now/d-3h.

В начало
[Topic 217987]

Экспорт данных об активах

Данные об активах, отображаемых в таблице активов, можно экспортировать в виде CSV-файла.

Чтобы экспортировать данные об активах:

  1. Настройте таблицу активов.

    В файл записываются только данные, указанные в таблице. Порядок отображения столбцов таблицы активов повторяется в экспортированном файле.

  2. Найдите нужные активы и выберите их, установив рядом с ними флажки.

    При необходимости вы можете выбрать сразу все активы в таблице, установив флажок в левой части заголовка таблицы активов.

  3. Нажмите на кнопку Экспортировать в CSV.

Данные об активах будут записаны в файл assets_<дата экспорта>_<время экспорта>.csv. Файл будет скачан в соответствии с параметрами вашего браузера.

В начало
[Topic 241719]

Просмотр информации об активе

Чтобы просмотреть информацию об активе, откройте окно информации об активе одним из следующих способов:

  • В веб-интерфейсе KUMA выберите раздел Активы → выберите категорию с требуемыми активами → выберите актив.
  • В веб-интерфейсе KUMA выберите раздел Алерты → нажмите на ссылку с требуемым алертом → в разделе Связанные активы выберите актив.
  • В веб-интерфейсе KUMA выберите раздел События → выполните поиск и фильтрацию событий → выберите требуемое событие → нажмите на ссылку в одном из следующих полей: SourceAssetID, DestinationAssetID или DeviceAssetID.

В окне информации об активе может отображаться следующая информация:

  • Название – имя актива.

    Активы, импортированные в KUMA, сохраняют имена, которые были заданы для них в источнике. Вы можете изменить эти имена в веб-интерфейсе KUMA.

  • Тенант – название тенанта, которому принадлежит актив.
  • Источник актива – источник информации об активе. Источников может быть несколько: сведения можно добавить в веб-интерфейсе KUMA или с помощью API, а также импортировать из Open Single Management Platform, KICS/KATA и отчетов MaxPatrol.

    Добавляя в KUMA сведения об одном и том же активе из нескольких источников, следует учитывать правила слияния данных об активах.

  • Создано – дата и время добавления актива в KUMA.
  • Последнее обновление – дата и время изменения информации об активе.
  • Владелец – владелец актива, если он указан.
  • IP-адрес – IP-адрес актива (если есть).

    Если в KUMA есть несколько активов с одинаковыми IP-адресами, актив, добавленный позже, возвращается во всех случаях поиска активов по IP-адресу. Если в сети вашей организации допустимо наличие активов с одинаковыми IP-адресами, разработайте и используйте дополнительные атрибуты для идентификации активов. Это может оказаться важным при корреляции.

  • Полное доменное имя – полностью определенное имя домена актива, если указано.
  • MAC-адрес – MAC-адрес актива (если есть).
  • Операционная система – операционная система актива.
  • Связанные алертыалерты, с которыми связан актив (если есть).

    Для просмотра списка алертов, с которыми связан актив, можно перейти по ссылке Найти в алертах. Откроется вкладка Алерты с поисковым выражением, позволяющим отфильтровать все активы с соответствующим идентификатором.

  • Информация о программном обеспечении и Информация об оборудовании – если указаны параметры программного обеспечения и оборудования актива, они отображаются в этом разделе.
  • Сведения об уязвимостях актива:
    • Уязвимости Kaspersky Security Center – уязвимости актива, если есть. Эта информация доступна для активов, импортированных из Open Single Management Platform.

      Вы можете узнать больше об уязвимости, нажав на значок learnmore, открывающий портал Kaspersky Threats. Вы также можете обновить список уязвимостей, нажав на ссылку Обновить и запросив обновленную информацию из Open Single Management Platform.

    • Уязвимости KICS/KATA – уязвимости актива, если есть. Эта информация доступна для активов, импортированных из KICS/KATA.
  • Сведения об источниках актива:
    • Последнее появление в сети – время последнего получения сведений об активе из Open Single Management Platform. Эта информация доступна для активов, импортированных из Open Single Management Platform.
    • Идентификатор устройства – идентификатор Агента администрирования Open Single Management Platform, от которого получены сведения об активе. Эта информация доступна для активов, импортированных из Open Single Management Platform. С помощью этого идентификатора определяется уникальность актива в Open Single Management Platform.
    • IP-адрес сервера KICS/KATA и Идентификатор коннектора KICS/KATA – данные об экземпляре KICS/KATA, из которого был импортирован актив.
  • Настраиваемые поля – данные, записанные в настраиваемые поля активов.
  • Дополнительные сведения о параметрах защиты актива с установленного приложения Kaspersky Endpoint Security для Windows или Kaspersky Endpoint Security для Linux:
    • Идентификатор расширенного статуса KSC – статус актива. Может иметь следующие значения:
      • ОК.
      • Критическое.
      • Предупреждение.
    • Расширенный статус KSC – информация о состоянии актива. Например, "Антивирусные базы обновлялись слишком давно".
    • Статус постоянной защиты – статус приложений "Лаборатории Касперского", установленных на активе. Например, "Выполняется (если антивирусное приложение не поддерживает категории состояния Выполняется)".
    • Статус шифрования – информация о шифровании актива. Например, "На устройстве нет правил шифрования".
    • Статус защиты от спама – состояние защиты от спама. Например, "Запущена".
    • Статус антивирусной защиты почтовых серверов – состояние антивирусной защиты почтовых серверов. Например, "Запущена".
    • Статус защиты данных от утечек – состояние защиты данных от утечек. Например, "Запущена".
    • Статус Endpoint Sensor – состояние защиты данных от утечек. Например, "Запущена".
    • Последнее обновление антивирусных баз – версия загруженных антивирусных баз.
    • Последнее обновление защиты – время последнего обновления антивирусных баз.
    • Время начала последней сессии – время последнего запуска системы.

    Эти сведения отображаются, если актив был импортирован из Open Single Management Platform.

  • Категории – категории, к которым относится актив (если есть).
  • КИИ категория – сведения о том, является ли актив объектом критической информационной инфраструктуры (КИИ).

По кнопке Переместить в группу KSC вы можете переместить просматриваемый актив между группами администрирования Open Single Management Platform. Вы также можете нажать на раскрывающийся список Запустить задачу, чтобы запустить выполнение доступных на активе задач:

  • По кнопке Реагирование KSC вы можете запустить на активе выполнение задачи Open Single Management Platform.
  • По кнопке Реагирование KEDR вы можете запустить на активе выполнение задачи в Kaspersky Endpoint Detection and Response.
  • По кнопке Обновить KSC актив вы можете запустить на активе задачу обновления информации о нем из Open Single Management Platform.

Задачи доступны при интеграции с Open Single Management Platform и при интеграции с Kaspersky Endpoint Detection and Response.

В начало
[Topic 235166]

Добавление активов

Вы можете добавлять в KUMA информацию об активах следующими способами:

  • Вручную.

    Вы можете добавить актив в веб-интерфейсе KUMA или с помощью API.. При этом необходимо вручную указать следующие данные: адрес, FQDN, название и версия операционной системы, аппаратные характеристики. Добавление информации об уязвимостях активов через веб-интерфейс не предусмотрено. Вы можете указать информацию об уязвимостях, если будете добавлять активы с помощью API.

  • Импортировать активы.

    Вы можете импортировать активы из Open Single Management Platform, KICS/KATA и отчетов MaxPatrol.

  • Импортировать активы.

В процессе добавления активы, уже существующие в KUMA, могут объединяться с добавляемыми активами.

Алгоритм объединения активов:

  1. Проверка на уникальность активов в Open Single Management Platform или KICS/KATA активов:
    • Уникальность актива импортированного из Open Single Management Platform, проверяется по параметру Идентификатор устройства, в котором указан идентификатор Агента администрирования Open Single Management Platform. Если идентификаторы у двух активов различаются, активы считаются разными, объединения данных не происходит.
    • Уникальность актива импортированного из KICS/KATA, определяется по комбинации параметров IP-адрес, IP-адрес сервера KICS/KATA и Идентификатор коннектора KICS/KATA. Если любой из параметров у двух активов различается, активы считаются разными, объединения данных не происходит.

    Если активы совпадают, алгоритм выполняется далее.

  2. Проверка на совпадение значений в полях IP, MAC, FQDN.

    Если хотя бы два из указанных полей совпадают, активы объединяются при условии, что другие поля не заполнены.

    Возможные варианты совпадений:

    • FQDN и IP-адрес активов. Поле MAC не заполнено.

      Проверка производится по всему массиву значений IP-адресов. Если IP-адрес актива входит в состав FQDN, значения считаются совпавшими.

    • FQDN и MAC-адрес активов. Поле IP не заполнено.

      Проверка производится по всему массиву значений MAC-адресов. При полном совпадении хотя бы одного значения массива с FQDN значения считаются совпавшими.

    • IP-адрес и MAC-адрес активов. Поле FQDN не заполнено.

      Проверка производится по всему массиву значений IP- и MAC-адресов. При полном совпадении хотя бы одного значения в массивах значения считаются совпавшими.

  3. Проверка на совпадение хотя бы одного из полей IP, MAC, FQDN при условии, что два других поля не заполнены для одного или обоих активов.

    Активы объединяются, если значения в поле совпадают. Например, если для актива KUMA указаны FQDN и IP-адрес, а для импортируемого актива только IP-адрес с тем же значением, поля считаются совпавшими. В этом случае активы объединяются.

    Для каждого поля проверка производится отдельно и завершается при первом совпадении.

Вы можете посмотреть примеры сравнения полей активов здесь.

Информация об активах может формироваться из разных источников. Если добавляемый актив и актив KUMA содержат данные, полученные из одного и того же источника, эти данные перезаписываются. Например, актив Open Single Management Platform при импорте в KUMA получил полное доменное имя и информацию о программном обеспечении. При импорте актива из Open Single Management Platform с аналогичным полным доменным именем эти данные будут перезаписаны при условии, что они указаны для добавляемого актива. Все поля, в которых могут обновляться данные, приведены в таблице Обновляемые данные.

Обновляемые данные

Название поля

Принцип обновления

Название

Выбирается согласно следующему приоритету:

  • Задано вручную.
  • Получено из Open Single Management Platform.
  • Получено KICS/KATA.

Владелец

Выбирается первое значение из источников согласно следующему приоритету:

  • Получено из Open Single Management Platform.
  • Задано вручную.

IP-адрес

Данные объединяются. Если в массиве адресов есть одинаковые адреса, копия дублирующегося адреса удаляется.

Полное доменное имя

Выбирается первое значение из источников согласно следующему приоритету:

  • Получено из Open Single Management Platform.
  • Получено KICS/KATA.
  • Задано вручную.

MAC-адрес

Данные объединяются. Если в массиве адресов есть одинаковые адреса, один из дублирующихся адресов удаляется.

Операционная система

Выбирается первое значение из источников согласно следующему приоритету:

  • Получено из Open Single Management Platform.
  • Получено KICS/KATA.
  • Задано вручную.

Уязвимости

Данные активов KUMA дополняются информацией из добавляемых активов. В информации об активе данные группируются по названию источника.

Устранение уязвимостей для каждого источника осуществляется отдельно.

Информация о программном обеспечении

Данные из KICS/KATA записываются всегда (при наличии).

Для других источников выбирается первое значение согласно следующему приоритету:

  • Получено из Open Single Management Platform.
  • Задано вручную.

Информация об оборудовании

Выбирается первое значение из источников согласно следующему приоритету:

  • Получено из Open Single Management Platform.
  • Задано через API.

Обновленные данные отображаются в информации об активе. Вы можете просмотреть информацию об активе в веб-интерфейсе KUMA.

При добавлении новых активов эти данные могут быть перезаписаны. Если данные, из которых сформирована информация об активе, не обновляются из источников более 30 дней, актив удаляется. При следующем добавлении актива из тех же источников создается новый актив.

При редактировании в веб-интерфейсе KUMA активов, информация о которых получена из Open Single Management Platform или KICS/KATA, вы можете изменить следующие данные актива:

  • Название.
  • Категория.

Если информация об активе добавлена вручную, при редактировании в веб-интерфейсе KUMA этих активов вы можете изменить следующие данные актива:

  • Название.
  • Название тенанта, которому принадлежит актив.
  • IP-адрес.
  • Полное доменное имя.
  • MAC-адрес.
  • Владелец.
  • Категория.
  • Операционная система.
  • Информация об оборудовании.

Редактирование данных об активах через REST API недоступно. При импорте из REST API происходит обновление данных по правилам слияния информации об активах, приведенным выше.

В этом разделе справки

Добавление информации об активах в веб-интерфейсе KUMA

Импорт информации об активах и уязвимостях активов из Open Single Management Platform

Импорт информации об активах из MaxPatrol

Импорт информации об активах из KICS for Networks

Примеры сравнения полей активов при импорте

Параметры конфигурационного файла kuma-ptvm-config.yaml

В начало
[Topic 233855]

Добавление информации об активах в веб-интерфейсе KUMA

Чтобы добавить актив в веб-интерфейсе KUMA:

  1. В разделе Активы веб-интерфейса KUMA нажмите на кнопку Добавить актив.

    В правой части окна откроется область деталей Добавить актив.

  2. Введите параметры актива:
    • Название актива (обязательно).
    • Тенант (обязательно).
    • IP-адрес и/или Полное доменное имя (обязательно). Вы можете указать несколько FQDN через запятую.
    • MAC-адрес.
    • Владелец.
  3. При необходимости присвойте активу одну или несколько категорий:
    1. Нажмите на кнопку parent-category.

      Откроется окно Выбор категорий.

    2. Установите флажки рядом с категориями, которые следует присвоить активу. С помощью значков plus и minus вы можете разворачивать и сворачивать списки категорий.
    3. Нажмите Сохранить.

    Выбранные категории отобразятся в полях Категории.

  4. При необходимости добавьте в раздел Программное обеспечение сведения об операционной системе актива.
  5. При необходимости добавьте в раздел Информация об оборудовании сведения об оборудовании актива.
  6. Нажмите на кнопку Добавить.

Актив создан и отображается в таблице активов в назначенной ему категории или в категории Активы без категории.

В начало
[Topic 217798]

Импорт информации об активах и уязвимостях активов из Open Single Management Platform

Развернуть все | Свернуть все

В Open Single Management Platform зарегистрированы все активы, которые находятся под защитой приложения. Вы можете импортировать в KUMA информацию об активах или уязвимостях активов, защищаемых Open Single Management Platform. Для этого вам нужно предварительно настроить интеграцию между приложениями.

В параметрах интеграции с Open Single Management Platform вы можете настроить периодичность автоматического импорта информации об активах, а также при необходимости вы можете импортировать активы вручную по запросу. Запуск импорта по запросу не влияет на время импорта по расписанию. KUMA импортирует из базы Open Single Management Platform сведения об устройствах с установленным Агентом администрирования Open Single Management Platform, который подключался к Open Single Management Platform, то есть поле Connection time в базе SQL – непустое.

KUMA импортирует следующие данные об устройстве, полученные от Агентов администрирования Open Single Management Platform:

  • основную информацию об активе – имя, адрес, время подключения к Open Single Management Platform, информацию об оборудовании, состоянии защиты, версии антивирусных баз;
  • информацию об атрибутах актива – об уязвимостях, о программном обеспечении, включая операционную систему, о владельцах.

По умолчанию информация об основных параметрах активов импортируется каждый час, а информация об атрибутах активов импортируется каждые 12 часов. Информация об атрибутах импортируется только для существующих активов, но не для новых или удаленных.

При возникновении в Open Single Management Platform ошибок во время выполнения задач импорта данных KUMA отображает эти ошибки. Если основная информация об активах отсутствует в KUMA во время импорта информации об атрибутах активов (например, активы были удалены во время импорта), то задача завершится без ошибок, но информация об атрибутах этих активов загружена не будет.

В KUMA предусмотрены следующие варианты импорта информации об активах и уязвимостях активов из Open Single Management Platform:

  • Импорт информации об активах и уязвимостях активов всех Серверов KSC

    Чтобы импортировать информацию об активах или уязвимостях активов всех Серверов Open Single Management Platform:

    1. В веб-интерфейсе KUMA перейдите в раздел Активы.
    2. Импортируйте информацию об активах или уязвимостях активов одним из следующих способов:
      • Если вы хотите импортировать информацию об основных параметрах активов (состоянии защиты, версии антивирусных баз, оборудовании), нажмите на кнопку Импортировать активы KSC.
      • Если вы хотите импортировать информацию об остальных параметрах активов (уязвимостях, программном обеспечении, владельцах), нажмите на кнопку Импортировать атрибуты активов KSC.
    3. В открывшемся окне выберите тенант, для которого вы хотите выполнить импорт. По умолчанию выбрано значение Все тенанты – импорт выполняется для всех тенантов.
    4. Нажмите на кнопку OK.

    Информация об активах или уязвимостях активов серверов Open Single Management Platform будет импортирована в KUMA.

  • Импорт информации об активах и уязвимостях активов отдельного Сервера KSC

    Чтобы импортировать информацию об активах или уязвимостях активов отдельного Сервера Open Single Management Platform:

    1. В веб-интерфейсе KUMA перейдите раздел ПараметрыOpen Single Management Platform.

      Откроется окно Интеграция с Open Single Management Platform по тенантам.

    2. Выберите тенант, для которого вы хотите выполнить импорт.

      Откроется окно Интеграция с Open Single Management Platform.

    3. В таблице Подключения нажмите на подключение к выбранному Серверу Open Single Management Platform.

      Откроется окно с параметрами подключения.

    4. Если у Сервера Open Single Management Platform есть подчиненные Серверы или группы и вы не хотите импортировать информацию об их активах или уязвимостях:
      1. Нажмите на кнопку Загрузить иерархию.
      2. Снимите флажки рядом с подчиненными Серверами или группами, для которых вы не хотите выполнять импорт. По умолчанию флажки установлены.
      3. Если вы хотите импортировать информацию об активах или уязвимостях активов новых групп, установите флажок Импортировать активы из новых групп. По умолчанию флажок снят.
      4. Нажмите на кнопку Сохранить.
    5. Импортируйте информацию об активах или уязвимостях активов одним из следующих способов:
      • Если вы хотите импортировать информацию об основных параметрах активов (состоянии защиты, версии антивирусных баз, оборудовании), нажмите на кнопку Импортировать активы KSC.
      • Если вы хотите импортировать информацию об остальных параметрах активов (уязвимостях, программном обеспечении, владельцах), нажмите на кнопку Импортировать атрибуты активов KSС.

    Информация об активах или уязвимостях активов выбранного Сервера Open Single Management Platform будет импортирована в KUMA.

В начало
[Topic 217893]

Импорт информации об активах из MaxPatrol

Вы можете импортировать в KUMA сведения об активах из системы MaxPatrol.

Вы можете использовать следующие варианты импорта:

Импортированные активы отображаются в веб-интерфейсе KUMA в разделе Активы. При необходимости вы можете редактировать параметры активов.

В начало
[Topic 228184]

Импорт данных из отчетов MaxPatrol

Импорт данных об активах из отчета поддерживается для MaxPatrol 8.

Чтобы импортировать данные об активах из отчета MaxPatrol:

  1. Сформируйте в MaxPatrol отчет сканирования сетевых активов в формате XML file и скопируйте файл отчета на сервер Ядра KUMA. Подробнее о задачах на сканирование и форматах выходных файлов см. в документации MaxPatrol.

    Импорт данных из отчетов в формате SIEM integration file не поддерживается. Требуется выбрать формат XML file.

  2. Создайте файл с токеном для доступа к KUMA REST API. Для удобства рекомендуется разместить его в папке отчета MaxPatrol. Файл не должен содержать ничего, кроме токена.

    Требования к учетным записям, для которых генерируется API-токен:

    • Роль Главного администратора, Администратора тенанта, Аналитика второго уровня и Аналитика первого уровня.
    • Доступ к тенанту, в который будут импортированы активы.
    • Настроены права на использование API-запросов GET /users/whoami и POST /api/v1/assets/import.

      Рекомендуется для импорта активов из MaxPatrol создать отдельного пользователя с минимально необходимым набором прав на использование API-запросов.

  3. Скопируйте утилиту maxpatrol-tool на сервер с Ядром KUMA и сделайте файл утилиты исполняемым с помощью команды:

    chmod +x <путь до файла maxpatrol-tool на сервере с Ядром KUMA>

  4. Запустите утилиту maxpatrol-tool:

    ./maxpatrol-tool --kuma-rest <адрес и порт сервера KUMA REST API> --token <путь и имя файла с API-токеном> --tenant <название тенанта, куда будут помещены активы> <путь и имя файла с отчетом MaxPatrol> --cert <путь к файлу сертификата Ядра KUMA>

    Сертификат Ядра можно скачать в веб-интерфейсе KUMA.

    Пример: ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /tmp/ca.cert

    Вы можете использовать дополнительные флаги и команды для импорта. Например, команду для отображения полного отчета о полученных активах --verbose, -v. Подробное описание доступных флагов и команд приведено в таблице Флаги и команды утилиты maxpatrol-tool. Также для просмотра информации о доступных флагах и командах вы можете использовать команду --help.

Информация об активах будет импортирована из отчета MaxPatrol в KUMA. В Консоли отображаются сведения о количестве новых и обновленных активов.

Пример:

inserted 2 assets;

updated 1 assets;

errors occured: []

Поведение утилиты при импорте активов:

  • KUMA перезаписывает данные импортированных через API активов и удаляет сведения об их устраненных уязвимостях.
  • KUMA пропускает активы с недействительными данными. Сведения об ошибках отображаются при использовании флага --verbose.
  • Если в одном отчете MaxPatrol есть активы с одинаковыми IP-адресами и полными именами домена (FQDN), эти активы объединяются. Сведения об их уязвимостях и программном обеспечении также объединяются в одном активе.

    При загрузке активов из MaxPatrol активы с аналогичными IP-адресами и полными именами доменов (FQDN), ранее импортированные из Open Single Management Platform, перезаписываются.

    Чтобы этого избежать, вам требуется настроить фильтрацию активов по диапазону с помощью команды:

    --ignore <диапазоны IP-адресов> или -i <диапазоны IP-адресов>

    Активы, соответствующие условиям фильтрации, не загружаются. Описание команды вы можете просмотреть в таблице Флаги и команды утилиты maxpatrol-tool.

Флаги и команды утилиты maxpatrol-tool

Флаги и команды

Описание

--kuma-rest <адрес и порт сервера KUMA REST API>, -a <адрес и порт сервера KUMA REST API>

Адрес сервера с Ядром KUMA, куда будет производиться импорт активов, с указанием порта. Например, example.kuma.com:7223.

По умолчанию для обращения по API используется порт 7223. При необходимости его можно изменить.

--token <путь и имя файла с API-токеном>, -t <путь и имя файла с API-токеном>

Путь и имя файла, содержащее токен для доступа к REST API. Файл должен содержать только токен.

Учетной записи, для которой генерируется API-токен, должна быть присвоена роль Главного администратора, Администратора тенанта, Администратора второго уровня или Администратора первого уровня.

--tenant <название тенанта>, -T <название тенанта>

Название тенанта KUMA, в который будут импортированы активы из отчета MaxPatrol.

--dns <диапазоны IP-адресов> или -d <диапазоны IP-адресов>

Используется для обогащения IP-адресов FQDN из указанных диапазонов с помощью DNS, если для этих адресов FQDN не был указан.

Пример: --dns 0.0.0.0-9.255.255.255,11.0.0.0-255.255.255,10.0.0.2

--dns-server <IP-адрес DNS-сервера>, -s <IP-адрес DNS-сервера>

Адрес DNS-сервера, к которому должна обращаться утилита для получения информации о FQDN.

Пример: --dns-server 8.8.8.8

--ignore <диапазоны IP-адресов> или -i <диапазоны IP-адресов>

Диапазоны адресов активов, которые при импорте следует пропустить.

Пример: --ignore 8.8.0.0-8.8.255.255, 10.10.0.1

--verbose, -v

Выведение полного отчета о полученных активах и ошибках, возникших в процессе импорта.

--help, -h

help

Получение справочной информации об утилите или команде.

Примеры:

./maxpatrol-tool help

./maxpatrol-tool <команда> --help

version

Получение информации о версии утилиты maxpatrol-tool.

completion

Создание скрипта автозавершения для указанной оболочки.

--cert <путь до файла с сертификатом Ядра KUMA>

Путь к сертификату Ядра KUMA. По умолчанию сертификат располагается в директории с установленным приложением: /opt/kaspersky/kuma/core/certificates/ca.cert.

Примеры:

  • ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /example-directory/ca.cert – импорт активов в KUMA из отчета MaxPatrol example.xml.
  • ./maxpatrol-tool help – получение справки об утилите.

Возможные ошибки

Сообщение об ошибке

Описание

must provide path to xml file to import assets

Не указан путь к файлу отчета MaxPatrol.

incorrect IP address format

Некорректный формат IP-адреса. Может возникнуть при указании некорректных диапазонов IP.

no tenants match specified name

Для указанного названия тенанта не было найдено подходящих тенантов с помощью REST API.

unexpected number of tenants (%v) match specified name. Tenants are: %v

Из KUMA вернулось больше одного тенанта для указанного названия тенанта.

could not parse file due to error: %w

Ошибка чтения xml-файла с отчетом MaxPatrol.

error decoding token: %w

Ошибка чтения файла с API-токеном.

error when importing files to KUMA: %w

Ошибка передачи сведений об активах в KUMA.

skipped asset with no FQDN and IP address

У одного из активов в отчете не было FQDN и IP-адреса. Сведения об этом активе не были отправлены в KUMA.

skipped asset with invalid FQDN: %v

У одного из активов в отчете был некорректный FQDN. Сведения об этом активе не были отправлены в KUMA.

skipped asset with invalid IP address: %v

У одного из активов в отчете был некорректный IP-адрес. Сведения об этом активе не были отправлены в KUMA.

KUMA response: %v

При импорте сведений об активах произошла ошибка с указанным ответом.

unexpected status code %v

При импорте сведений об активах от KUMA был получен неожиданный код HTTP.

В начало
[Topic 265426]

Импорт данных об активах из MaxPatrol VM

В поставку KUMA входит утилита kuma-ptvm, которая состоит из исполняемого файла и файла конфигурации. Поддерживается работа под управлением ОС Windows и Linux. Утилита позволяет выполнить подключение к API MaxPatrol VM, получить данные об устройствах и их атрибутах, включая уязвимости, а также позволяет отредактировать данные об активах и импортировать данные с использованием API KUMA. Импорт данных поддерживается для MaxPatrol VM 1.1, 2.6.

Настройка импорта информации об активах из MaxPatrol VM в KUMA состоит из следующих шагов:

  1. Подготовительные действия в KUMA и MaxPatrol VM.

    Вам потребуется создать учетные записи пользователей и токен KUMA для операций через API.

  2. Создание файла конфигурации с параметрами экспорта и импорта данных.
  3. Импорт данных об активах в KUMA с помощью утилиты kuma-ptvm:
    1. Данные экспортируются из MaxPatrol VM и сохраняются в директории утилиты. Информация по каждому тенанту сохраняется в отдельный файл в формате JSON.

      При необходимости вы можете отредактировать полученные файлы.

    2. Информация из файлов импортируется в KUMA.

При повторном импорте уже существующие в KUMA активы будут перезаписаны. Таким образом устраненные уязвимости будут удалены.

Известные ограничения

Если для двух активов с разными FQDN указан один IP-адрес, KUMA импортирует такие активы как два разных актива, активы не будут объединены.

Если у актива два ПО с одинаковыми данными в полях name, version, vendor, KUMA импортирует эти данные как одно ПО, несмотря на разные пути установки ПО в активе.

Если FQDN актива содержит пробел или "_", данные по таким активам не будут импортированы в KUMA, в журнале будет указано, что такие активы пропущены при импорте.

Если при импорте происходит ошибка, информация об ошибке регистрируется в журнале и выполнение импорта прекращается.

Подготовительные действия

  1. Создайте отдельную учетную запись пользователя в KUMA и в MaxPatrol VM с минимально необходимым набором прав на использование API-запросов.
  2. Создайте учетные записи, для которых впоследствии сгенерируете API-токен.

    Требования к учетным записям, для которых генерируется API-токен:

    • Роль Главного администратора, Администратора тенанта, Аналитика второго уровня и Аналитика первого уровня.
    • Доступ к тенанту, в который будут импортированы активы.
    • В учетной записи пользователя в группе параметров Права доступа через API установлен флажок для POST /api/v1/assets/import.
  3. Сгенерируйте токен для доступа к KUMA REST API.

Создание конфигурационного файла

Чтобы создать конфигурационный файл:

  1. Перейдите в директорию установщика KUMA, выполнив следующую команду:

    cd kuma-ansible-installer/roles/kuma/files/

  2. Распакуйте архив kuma-ptvm.tar.gz, выполнив следующую команду:

    tar -xvf kuma-ptvm.tar.gz

  3. Скопируйте шаблон kuma-ptvm-config-template.yaml и создайте конфигурационный файл с именем kuma-ptvm-config.yaml:

    cp kuma-ptvm-config-template.yaml kuma-ptvm-config.yaml

  4. Отредактируйте параметры конфигурационного файла kuma-ptvm-config.yaml.
  5. Сохраните изменения в файле.

Конфигурационный файл будет создан. Теперь вы можете переходить к шагу Импорт информации об активах.

Импорт данных об активах

Чтобы импортировать данные об активах:

  1. Если вы хотите импортировать информацию об активах из MaxPatrol VM в KUMA без промежуточной проверки экспортированных данных, запустите утилиту kuma-ptvm со следующими параметрами:

    ./kuma-ptvm --config <путь к файлу kuma-ptvm-config.yaml> --download --upload

  2. Если вы хотите проверить корректность экспортированных из MaxPatrol VM данных перед импортом в KUMA:
    1. Запустите утилиту kuma-ptvm со следующими параметрами:

      ./kuma-ptvm --config <путь к файлу kuma-ptvm-config.yaml> --download

      Для каждого тенанта, указанного в конфигурационном файле, будет создан отдельный файл с именем вида <Идентификатор тенанта KUMA>.JSON. Также при экспорте будет создан файл tenants со списком JSON-файлов для загрузки в KUMA. Все файлы сохраняются в директории утилиты.

    2. Проверьте экспортированные файлы активов и при необходимости внесите изменения:
      • Распределите активы по соответствующим тенантам.
      • Из файла тенанта по умолчанию default вручную перенесите данные активов в файлы нужных тенантов.
      • В файле tenants отредактируйте список тенантов, активы которых будут импортированы в KUMA.
    3. Импортируйте информацию об активах в KUMA с помощью команды:

      ./kuma-ptvm --config <путь к файлу kuma-ptvm-config.yaml> --upload

    Чтобы просмотреть информацию о доступных командах утилиты, выполните команду --help.

Информация об активах будет импортирована из MaxPatrol VM в KUMA. В Консоли отображаются сведения о количестве новых и обновленных активов.

Возможные ошибки

При запуске утилиты kuma-ptvm может вернуться ошибка "tls: failed to verify certificate: x509: certificate is valid for localhost".

Решение:

  • Выписать сертификат в соответствии с документацией MaxPatrol. Рекомендуется использовать этот способ устранения ошибки, как предпочтительный.
  • Отключить проверку сертификата.

    Чтобы отключить проверку сертификата, добавьте в конфигурационный файл в разделе MaxPatrol settings следующую строку:

    ignore_server_cert: true

В результате запуск утилиты выполняется без ошибок.

В начало
[Topic 265427]

Параметры конфигурационного файла kuma-ptvm-config.yaml

В таблице представлены параметры, доступные для настройки в файле kuma-ptvm-config.yaml.

Описание параметров конфигурационного файла kuma-ptvm-config.yaml

Параметр

Описание

Значения

log_level

Необязательный параметр в группе General settings.

Уровень журналирования.

Доступные значения:

  • trace
  • info
  • warning
  • error

Значение по умолчанию: info.

period

Необязательный параметр в группе General settings.

Из MaxPatrol будут экспортированы данные об активах, которые изменялись за указанный срок.

Ограничения отсутствуют.

Значение по умолчанию: 30d.

strict_import

Необязательный параметр в группе General settings.

При экспорте активов из MaxPatrol проверять, заполнены ли обязательные для KUMA поля. Не экспортировать из MaxPatrol активы, не прошедшие проверку.

Доступные значения:

  • true - проверять наличие обязательных для KUMA полей.
  • false - не проверять наличие обязательных для KUMA полей.

Значение по умолчанию: false.

Рекомендуется указывать значение true при экспорте активов из MaxPatrol, это позволит выявить возможные ошибки в файлах JSON и исправить ошибки перед тем, как вы импортируете активы в KUMA.

endpoint

Обязательный параметр в группе KUMA settings.

URL сервера KUMA API. Например: kuma-example.com:7223

-

token

Обязательный параметр в группе KUMA settings.

Токен KUMA API.

-

ignore_server_cert

Необязательный параметр в группе KUMA settings.

Проверка сертификата KUMA.

Доступные значения:

  • true - отключить проверку сертификата KUMA.
  • false - выполнить проверку сертификата KUMA.

Параметр не включен в шаблон конфигурационного файла. Вы можете указать параметр со значением true вручную, тогда при запуске утилита kuma-ptvm не будет проверять сертификат.

endpoint

Обязательный параметр в группе MaxPatrol VM settings.

URL сервера MaxPatrol API.

-

user

Обязательный параметр в группе MaxPatrol VM settings.

Имя пользователя MaxPatrol API.

-

password

Обязательный параметр в группе MaxPatrol VM settings.

Пароль пользователя MaxPatrol API.

-

secret

Обязательный параметр в группе MaxPatrol VM settings.

Секрет MaxPatrol API

-

ignore_server_cert

Необязательный параметр в группе MaxPatrol VM settings.

Проверка сертификата MaxPatrol.

Доступные значения:

  • true - отключить проверку сертификата MaxPatrol.
  • false - выполнить проверку сертификата MaxPatrol.

Параметр не включен в шаблон конфигурационного файла. Вы можете указать параметр со значением true вручную, в случае возникновения ошибки "tls: failed to verify certificate: x509: certificate is valid for localhost". В таком случае при запуске утилита kuma-ptvm не будет проверять сертификат.

Рекомендуется выписать сертификат в соответствии с документацией MaxPatrol, как предпочтительный способ устранения ошибки.

only_exploitable

Необязательный параметр в группе Vulnerability filter.

Экспортировать из MaxPatrol только активы с уязвимостями, для которых известны эксплойты.

Доступные значения:

  • true - экспортировать только активы с уязвимостями, для которых известны эксплойты.
  • false - экспортировать все активы.

Значение по умолчанию: false.

min_severity

Необязательный параметр в группе Vulnerability filter.

Импортировать только уязвимости указанного уровня и выше.

Доступные значения:

  • low
  • medium
  • high
  • critical

Значение по умолчанию: low.

id

Обязательный параметр в группе Tenant map.

Идентификатор тенанта в KUMA.

Активы распределяются по тенантам в том порядке, в каком тенанты указаны в конфигурационном файле: чем выше тенант в списке, тем выше у него приоритет. Таким образом вы можете указывать и перекрывающиеся подсети.

-

fqdn

Необязательный параметр в группе Tenant map.

Регулярное выражение для поиска FQDN актива.

-

networks

Необязательный параметр в группе Tenant map.

Одна или несколько подсетей.

-

default_tenant

Необязательный параметр.

Идентификатор тенанта KUMA по умолчанию, куда будут поступать данные об активах, которые не удалось распределить по тенантам, заданным в группе параметров Tenants.

-

В начало
[Topic 267952]

Импорт информации об активах из KICS for Networks

После создания интеграции с KICS for Networks задачи на получение данных об активах KICS for Networks создаются автоматически. Это происходит в следующих случаях:

  • Сразу после создания новой интеграции.
  • Сразу после изменения параметров существующей интеграции.
  • Регулярно по расписанию каждые несколько часов. По умолчанию каждые 12 часов. Расписание можно изменить.

Задачи на обновление данных об учетных записях можно создать вручную.

Чтобы запустить задачу на обновление данных об активах for Networks для тенанта:

  1. Откройте в веб-интерфейсе KUMA разделе ПараметрыKICS/KATA.
  2. Выберите требуемый тенант.

    Откроется окно Интеграция с KICS/KATA.

  3. Нажмите на кнопку Импортировать активы.

В разделе Диспетчер задач веб-интерфейса KUMA добавлена задача на получение данных об учетных записях выбранного тенанта.

В начало
[Topic 233671]

Примеры сравнения полей активов при импорте

Каждый импортируемый актив сравнивается с активом KUMA.

Проверка на совпадение значений в полях IP, MAC, FQDN по двум полям

Сравниваемые активы

Сравниваемые поля

FQDN

IP

MAC

Актив KUMA

Заполнено

Заполнено

Не заполнено

Импортируемый актив 1

Заполнено, совпадает

Заполнено, совпадает

Заполнено

Импортируемый актив 2

Заполнено, совпадает

Заполнено, совпадает

Не заполнено

Импортируемый актив 3

Заполнено, совпадает

Не заполнено

Заполнено

Импортируемый актив 4

Не заполнено

Заполнено, совпадает

Заполнено

Импортируемый актив 5

Заполнено, совпадает

Не заполнено

Не заполнено

Импортируемый актив 6

Не заполнено

Не заполнено

Заполнено

Результаты сравнения:

  • Импортируемый актив 1 и актив KUMA: для обоих активов заполнены и совпадают поля FQDN и IP, по полю MAC нет противоречия. Активы будут объединены.
  • Импортируемый актив 2 и актив KUMA: для обоих активов заполнены и совпадают поля FQDN и IP. Активы будут объединены.
  • Импортируемый актив 3 и актив KUMA: для обоих активов заполнены и совпадают поля FQDN и MAC, по полю IP нет противоречия. Активы будут объединены.
  • Импортируемый актив 4 и актив KUMA: для обоих активов заполнено и совпадает поле IP, по полям FQDN и MAC нет противоречия. Активы будут объединены.
  • Импортируемый актив 5 и актив KUMA: для обоих активов заполнено и совпадает поле FQDN, по полям IP и MAC нет противоречия. Активы будут объединены.
  • Импортируемый актив 6 и актив KUMA: для активов нет ни одного совпадающего поля. Активы не объединяются.

Проверка на совпадение значений в полях IP, MAC, FQDN по одному полю

Сравниваемые активы

Сравниваемые поля

FQDN

IP

MAC

Актив KUMA

Не заполнено

Заполнено

Не заполнено

Импортируемый актив 1

Заполнено

Заполнено, совпадает

Есть

Импортируемый актив 2

Заполнено

Заполнено, совпадает

Не заполнено

Импортируемый актив 3

Заполнено

Не заполнено

Заполнено

Импортируемый актив 4

Не заполнено

Не заполнено

Заполнено

Результаты сравнения:

  • Импортируемый актив 1 и актив KUMA: для обоих активов заполнено и совпадает поле IP, по полям FQDN и MAC нет противоречия. Активы будут объединены.
  • Импортируемый актив 2 и актив KUMA: заполнено и совпадает поле IP, по полям FQDN и MAC нет противоречия. Активы будут объединены.
  • Импортируемый актив 3 и актив KUMA: для активов нет ни одного совпадающего поля. Активы не объединяются.
  • Импортируемый актив 4 и актив KUMA: для активов нет ни одного совпадающего поля. Активы не объединяются.
В начало
[Topic 243031]

Параметры конфигурационного файла kuma-ptvm-config.yaml

В таблице перечислены параметры, которые вы можете указать в файле kuma-ptvm-config.yaml.

Параметр

Описание

Значения

log_level

Необязательный параметр в группе Общие параметры.

Уровень ведения журналов.

Доступные значения:

  • trace
  • info
  • warning
  • error

Параметр по умолчанию: info.

period

Необязательный параметр в группе Общие параметры.

Данные об активах, которые изменились в течение указанного периода, экспортируются из MaxPatrol.

Без ограничений.

Параметр по умолчанию: 30d.

strict_import

Необязательный параметр в группе Общие параметры.

При экспорте активов из MaxPatrol, проверьте, заполнены ли обязательные поля для KUMA. Не экспортируйте непроверенные активы из MaxPatrol.

Доступные значения:

  • true – проверять наличие обязательных полей для KUMA.
  • false – не проверять наличие обязательных полей для KUMA.

Параметр по умолчанию: false.

Рекомендуется указывать true при экспорте активов из MaxPatrol. Это позволяет вам обнаруживать и исправлять возможные ошибки в файлах JSON перед тем, как вы импортируете активы в OSMP.

endpoint

Обязательный параметр в группе Параметры KUMA.

URL сервера API OSMP. Например, api.<XDR FQDN>/xdr/.

-

token

Обязательный параметр в группе Параметры KUMA.

Токен API OSMP.

-

ignore_server_cert

Обязательный параметр в группе Параметры KUMA.

Проверка сертификата OSMP.

Доступные значения:

true – выключать проверку сертификата.

false – включать проверку сертификата.

Параметр не входит в шаблон конфигурационного файла. Вы можете вручную добавить этот параметр со значением true. Проверка сертификата утилитой kuma-ptvm при запуске выполняться не будет.

endpoint

Обязательный параметр в группе MaxPatrol VM.

URL сервера API MaxPatrol.

-

user

Обязательный параметр в группе MaxPatrol VM.

Имя пользователя API MaxPatrol.

-

password

Обязательный параметр в группе MaxPatrol VM.

Пароль пользователя API MaxPatrol.

-

secret

Обязательный параметр в группе Параметры MaxPatrol VM.

Секрет API MaxPatrol.

-

ignore_server_cert

Необязательный параметр в группе Параметры MaxPatrol VM.

Проверка сертификата MaxPatrol.

Доступные значения:

  • true – выключать проверку сертификата MaxPatrol.
  • false – включать проверку сертификата MaxPatrol.

Параметр не входит в шаблон конфигурационного файла. Вы можете вручную добавить этот параметр со значением true, если возникает ошибка "tls: failed to verify certificate: x509: certificate is valid for localhost". В этом случае утилита kuma-ptvm не проверяет сертификат при запуске.

Рекомендуется выпустить сертификат в соответствии с документацией MaxPatrol как предпочтительный способ устранения ошибки.

only_exploitable

Необязательный параметр в группе Фильтр уязвимостей.

Экспортировать из MaxPatrol только активы с уязвимостями, для которых известны эксплойты.

Доступные значения:

true – экспортировать только те активы, у которых есть уязвимости с известными эксплойтами.

false – экспортировать все активы.

Параметр по умолчанию: false.

min_severity

Необязательный параметр в группе Фильтр уязвимостей.

Импортировать только уязвимости указанного уровня критичности или выше.

Доступные значения:

  • low
  • medium
  • high
  • critical

Значение по умолчанию: low.

id

Обязательный параметр в группе Карта тенанта.

Идентификатор тенанта в OSMP.

Активы назначаются тенантам в том порядке, в котором тенанты указаны в конфигурационном файле: чем выше тенант в списке, тем выше его приоритет. Это означает, что вы можете указать перекрывающиеся подсети.

-

fqdn

Необязательный параметр в группе Карта тенанта.

Регулярное выражение для поиска FQDN актива.

-

networks

Необязательный параметр в группе Карта тенанта.

Одна или несколько подсетей.

-

default_tenant

Необязательный параметр.

Тенант OSMP по умолчанию, получающий данные об активах, которые не были распределены между тенантами, указанными в группе параметров Тенанты.

-

В начало
[Topic 292435]

Назначение активу категории

Чтобы назначить категорию одному активу:

  1. В веб-интерфейсе KUMA перейдите в раздел Активы.
  2. Выберите категорию с требуемыми активами.

    Отобразится таблица активов.

  3. Выберите актив.
  4. В открывшемся окне нажмите на кнопку Изменить.
  5. В поле Категории нажмите на кнопку parent-category.
  6. Выберите категорию.

    Если вы хотите перенести актив в раздел Активы без категории, вам требуется удалить существующие для актива категории, нажав на кнопку cross.

  7. Нажмите на кнопку Сохранить.

Категория будет назначена.

Чтобы назначить категорию нескольким активам:

  1. В веб-интерфейсе KUMA перейдите в раздел Активы.
  2. Выберите категорию с требуемыми активами.

    Отобразится таблица активов.

  3. Установите флажки рядом с активами, для которых вы хотите изменить категорию.
  4. Нажмите на кнопку Привязать к категории.
  5. В открывшемся окне выберите категорию.
  6. Нажмите на кнопку Сохранить.

Категория будет назначена.

Не назначайте активам категорию Categorized assets.

Привязка группы активов к категории

Чтобы привязать группу активов к категории:

  1. В разделе Активы веб-интерфейса KUMA в шапке таблицы со списком активов установите флажок.
  2. Выделите все активы, видимые на странице или все активы, согласно условию выбора.

    Кнопка Привязать к категории становится активной и открывает доступные категории.

  3. Нажмите на кнопку Привязать к категории и выберите одну или несколько категорий для привязки.
  4. Нажмите OK.

    Активы привязываются к выбранным категориям или папке.

Отвязка группы активов от категории

Чтобы отвязать группу активов от категории:

  1. Выберите одну категорию (тенант) в навигационной панели.

    Отображается список активов категории.

    В свойства папки добавится кнопка Очистить категорию.

  2. В контекстном меню категории выберите Очистить категорию.

    Появляется диалоговое окно с запросом подтверждения и числом отвязываемых активов.

    Эта опция позволяет отвязывать все активы в выбранной категории, не только видимые на странице. Активы в дочерних категориях не отвязываются.

  3. В диалоговом окне нажмите OK.

    Все выбранные активы буду отвязаны от выбранной категории.

В начало
[Topic 235241]

Изменение параметров активов

В KUMA можно изменять параметры активов. У добавленных вручную активов можно изменять все параметры. У активов, импортированных из Open Single Management Platform, можно изменить только название актива и его категорию.

Чтобы изменить параметры актива:

  1. В разделе Активы веб-интерфейса KUMA нажмите на актив, который вы хотите изменить.

    В правой части окна откроется область Информация об активе.

  2. Нажмите на кнопку Изменить.

    Откроется окно Изменить актив.

  3. Внесите необходимые изменения в доступные поля:
    • Название актива (обязательно). Это единственное поле, доступное для редактирования у активов, импортированных из Open Single Management Platform или KICS/KATA.
    • IP-адрес и/или Полное доменное имя (обязательно). Вы можете указать несколько FQDN через запятую.
    • MAC-адрес
    • Владелец
    • Информация о программном обеспечении:
      • Название ОС
      • Версия ОС
    • Информация об оборудовании:

      Параметры оборудования

      В раздел Информация об оборудовании можно добавить сведения об оборудовании актива:

      Доступные поля для описания CPU актива:

      • Название процессора
      • Частота процессора
      • Количество ядер процессора

      Активу можно добавить процессоры с помощью ссылки Добавить процессор.

      Доступные поля для описания диска актива:

      • Свободных байт на диске
      • Объем диска

      Активу можно добавить диски с помощью ссылки Добавить диск.

      Доступные поля для описания RAM актива:

      • Частота оперативной памяти
      • Общий объем ОЗУ

      Доступные поля для описания сетевой карты актива:

      • Название сетевой карты
      • Производитель сетевой карты
      • Версия драйвера сетевой карты

      Активу можно добавить сетевые карты с помощью ссылки Добавить сетевую карту.

    • Настраиваемые поля.
    • Категория КИИ.
  4. Назначьте или измените активу категорию:
    1. Нажмите на кнопку parent-category.

      Откроется окно Выбор категорий.

    2. Установите флажки рядом с категориями, которые следует присвоить активу.
    3. Нажмите Сохранить.

    Выбранные категории отобразятся в полях Категории.

    Кроме того, можно выбрать актив и перетащить его в нужную категорию. Эта категория будет добавлена в список категорий актива.

    Не назначайте активам категорию Categorized assets.

  5. Нажмите на кнопку Сохранить.

Параметры актива изменены.

В начало
[Topic 217852]

Архивирование активов

В KUMA функция архивирования доступна для следующих типов активов:

  • Для активов, импортированных из KSC и KICS.

    Если KUMA не получила информацию об активе в момент импорта, актив автоматически переводится в состояние архивного и хранится в базе данных в течение срока, который вы можете задать в параметре Срок хранения архивных активов. Значение параметра по умолчанию – 0 дней. Это означает, что архивные активы хранятся бессрочно. Архивный актив станет активным, если KUMA получит информацию об активе от источника до истечения срока хранения архивных активов.

  • Для объединенных активов.

    При импорте KUMA выполняет проверку на уникальность среди активов, импортированных из KSC и KICS, и активов, добавленных вручную. Если поля импортированного актива и добавленного вручную актива совпадают, активы объединяются в один актив, который считается импортированным и может стать архивным.

Активы, добавленные вручную в веб-интерфейсе или с помощью API, не архивируются.

Актив становится архивным при следующих условиях:

  • Приложение KUMA не получило информацию об активе от Open Single Management Platform или KICS/KATA.
  • Отключена интеграция с Open Single Management Platform.

    Если вы отключили интеграцию с Open Single Management Platform, в течение 30 дней актив будет считаться активным. По истечении 30 дней актив автоматически переводится в состояние архивного и хранится в базе данных в течение времени, указанного в параметре Срок хранения архивных активов.

Обновление актива не происходит в следующих случаях:

  • Данные об активе Open Single Management Platform не обновлялись больше срока хранения архивных активов.
  • Данные об активе отсутствуют в Open Single Management Platform или KICS/KATA.
  • Соединение с сервером Open Single Management Platform отсутствует больше 30 дней.

Архивные активы, участвующие в динамической категоризации, остаются архивными. Архивному активу может быть назначена или изменена категория КИИ. При этом если актив оказался в алерте или инциденте, у алерта или инцидента также изменится категория КИИ, что может повлиять на видимость алерта или инцидента для пользователей с ограничением доступа к КИИ.

Чтобы настроить срок хранения архивных активов:

  1. В веб-интерфейсе KUMA выберите раздел ПараметрыАктивы.

    Отобразится окно Активы.

  2. Введите в поле Срок хранения архивных активов желаемое значение.

    Значение по умолчанию – 0 дней. Это означает, что архивные активы хранятся бессрочно

  3. Нажмите Сохранить.

Срок хранения архивных активов будет настроен.

Информация об архивном активе остается доступной для просмотра в карточке алертов и инцидентов.

Чтобы просмотреть карточку архивного актива:

  1. В веб-интерфейсе KUMA выберите раздел Алерты или Инциденты.

    Отобразится список алертов или инцидентов.

  2. Откройте карточку алерта или инцидента, связанного с архивным активом.

    Вам будет доступен просмотр информации в карточке архивного актива.

В начало
[Topic 263817]

Удаление активов

Если вам больше не нужно получать информацию от актива или информация об активе долгое время не обновлялась, в KUMA есть возможность удаления активов. Возможность удаления доступна для главного администратора, администратора тенанта, аналитиков второго и первого уровней. Если после удаления актива в KUMA сведения о нем начнут поступать из Open Single Management Platform, KUMA создаст актив с новым идентификатором.

В KUMA доступны следующие способы удаления активов:

  • Автоматически.

    KUMA автоматически удаляет только архивные активы. KUMA удалит архивный актив, если информация об активе не обновлялась больше срока хранения архивных активов.

  • Вручную.

Чтобы удалить актив вручную:

  1. В веб-интерфейсе KUMA → Активы нажмите на актив, который вы хотите удалить.

    В правой части веб-интерфейса откроется окно Информация об активе.

  2. Нажмите на кнопку Удалить.

    Откроется окно подтверждения.

  3. Нажмите ОК.

Актив будет удален и больше не будет отображаться в карточке алерта или в карточке инцидента.

В начало
[Topic 217832]

Массовое удаление активов

В веб-интерфейсе KUMA вы можете осуществить множественный выбор активов с помощью фильтра и удалить все выбранные активы.

Для удаления активов вы должны обладать правами на удаление активов.

Массовое удаление активов

Чтобы удалить все выбранные активы:

  1. В разделе Активы веб-интерфейса KUMA выберите категорию с требуемыми активами.

    Отобразится таблица со списком активов.

  2. В шапке таблицы со списком активов установите флажок.

    Вам будет предложено два варианта удаления: все активы или все активы, видимые на странице.

  3. Нажмите на Выбрать все на странице или Выбрать все.

    Кнопка Удалить станет активной.

  4. Нажмите на кнопку Удалить.

    Появится окно с запросом подтверждения удаления и с информацией о том, что удаленные активы не будут доступны в алертах, инцидентах и виджетах.

    Внизу страницы отобразится количество выбранных для удаления активов.

  5. Нажмите OK.

    Если вы нажали на Выбрать все, то перед подтверждением удаления нужно ввести запрашиваемую сгенерированную строку в текстовое поле окна.

Все выбранные активы будут удалены.

Удаление папок c активами

Для удаления папки вы можете или отвязать (при этом активы будут отвязаны, но не удалены) все активы от папки и затем удалить саму папку, или удалить все активы (активы будут удалены из программы), а затем удалить папку.

В начало
[Topic 295159]

Обновление приложений сторонних производителей и закрытие уязвимостей на активах Open Single Management Platform

Вы можете обновлять приложения сторонних производителей, в том числе приложения Microsoft, установленные на активах Open Single Management Platform, и закрывать уязвимости этих приложений.

Предварительно вам нужно создать задачу Установка требуемых обновлений и закрытие уязвимостей на выбранном Сервере Администрирования Open Single Management Platform со следующими параметрами:

  • Приложение – Open Single Management Platform.
  • Тип задачи – Установка требуемых обновлений и закрытие уязвимостей.
  • Устройства, которым будет назначена задача – вам требуется назначить задачу корневой группе администрирования.
  • Правила для установки обновлений:
    • Устанавливать только утвержденные обновления.
    • Закрывать уязвимости с уровнем важности равным или выше (необязательный параметр).

      Если этот параметр включен, обновления закрывают только те уязвимости, для которых уровень важности, установленный "Лабораторией Касперского", равен или превышает значение, выбранное в списке (Средний, Высокий или Предельный). Уязвимости с уровнем важности ниже выбранного значения не закрываются.

  • Запуск по расписанию – расписание, в соответствии с которым выполняется задача.

О способах создания задачи см. подробнее в справке Open Single Management Platform.

Задача Установка требуемых обновлений и закрытие уязвимостей доступна при наличии лицензии на Системное администрирование.

Далее вам требуется установить обновления для приложений сторонних производителей и закрыть уязвимости на активах в KUMA.

Чтобы установить обновления и закрыть уязвимости приложений сторонних производителей на активе в KUMA:

  1. Откройте окно информации об активе одним из следующих способов:
    • В веб-интерфейсе KUMA выберите раздел Активы → выберите категорию с требуемыми активами → выберите актив.
    • В веб-интерфейсе KUMA выберите раздел Алерты → нажмите на ссылку с требуемым алертом → в разделе Связанные активы выберите актив.
    • В веб-интерфейсе KUMA выберите раздел События → выполните поиск и фильтрацию событий → выберите требуемое событие → нажмите на ссылку в одном из следующих полей: SourceAssetID, DestinationAssetID или DeviceAssetID.
  2. В окне информации об активе раскройте список Уязвимости Open Single Management Platform.
  3. Установите флажки рядом с приложениями, которые вы хотите обновить.
  4. Нажмите на ссылку Загрузить обновления.
  5. В открывшемся окне установите флажок рядом с идентификатором уязвимости, которую вы хотите закрыть.
  6. Если в столбце Лицензионное соглашение принято для выбранного идентификатора отображается Нет, нажмите на кнопку Принять обновления.
  7. Перейдите по ссылке в столбце URL Лицензионного соглашения и ознакомьтесь с текстом Лицензионного соглашения.
  8. Если вы с ним согласны, в веб-интерфейсе KUMA нажмите на кнопку Принять Лицензионные соглашения.

    Напротив идентификатора уязвимости, для которого было принято Лицензионное соглашение, в столбце Лицензионные соглашения приняты отобразится Да.

  9. Повторите шаги 7–10 для каждого требуемого идентификатора уязвимости.
  10. Нажмите на кнопку ОК.

Обновления будут загружены и установлены на активы, того Сервера администрирования, где была запущена задача, а также на активы всех подчиненные Серверы администрирования.

Условия Лицензионного соглашения для обновления и закрытия уязвимостей требуется принять на каждом подчиненном Сервере администрирования отдельно.

Обновления устанавливаются на активы, на которых была обнаружена уязвимость.

Вы можете обновить список уязвимостей для актива в окне информации об активе, нажав на ссылку Обновить.

В начало
[Topic 235047]

Перемещение активов в выбранную группу администрирования

Вы можете перемещать активы в выбранную группу администрирования Open Single Management Platform. В этом случае на активы будут распространятся групповые политики и задачи. Подробнее о политиках и задачах Open Single Management Platform см. справку Open Single Management Platform.

Группы администрирования добавляются в KUMA при загрузке иерархии во время импорта активов из Open Single Management Platform. Предварительно вам требуется настроить интеграцию KUMA с Open Single Management Platform.

Чтобы переместить один актив в выбранную группу администрирования:

  1. Откройте окно информации об активе одним из следующих способов:
    • В веб-интерфейсе KUMA выберите раздел Активы → выберите категорию с требуемыми активами → выберите актив.
    • В веб-интерфейсе KUMA выберите раздел Алерты → нажмите на ссылку с требуемым алертом → в разделе Связанные активы выберите актив.
  2. В окне информации об активе нажмите на кнопку Переместить в группу KSC.
  3. Нажмите на кнопку Переместить в группу KSC.
  4. В открывшемся окне выберите группу.

    Выбранная группа должна принадлежать тому же тенанту, которому принадлежит актив.

  5. Нажмите на кнопку Сохранить.

Выбранный актив будет перемещен.

Чтобы переместить несколько активов в выбранную группу администрирования:

  1. В веб-интерфейсе KUMA выберите раздел Активы.
  2. Выберите категорию с требуемыми активами.
  3. Установите флажки рядом с активами, которые хотите переместить в группу.
  4. Нажмите на кнопку Переместить в группу KSC.

    Кнопка активна, если все выбранные активы принадлежат одному Серверу администрирования.

  5. В открывшемся окне выберите группу.
  6. Нажмите на кнопку Сохранить.

Выбранные активы будут перемещены.

Вы можете посмотреть, к какой группе принадлежит актив, в информации об активе.

Сведения об активах Open Single Management Platform обновляются в KUMA в момент импорта информации об активах из Open Single Management Platform. Это означает, что может возникнуть ситуация, когда в Open Single Management Platform активы были перемещены между группами администрирования, однако в KUMA эти сведения еще не отображаются. При попытке переместить такой актив в группу администрирования, в которой он уже находится, KUMA возвращает ошибку Не удалось переместить активы в другую группу KSC.

В начало
[Topic 235060]

Аудит активов

В KUMA можно настроить создание событий аудита активов при следующих условиях:

  • Актив добавлен в KUMA. Отслеживается создание актива вручную, а также создание при импорте через REST API, импорте из Open Single Management Platform или KICS/KATA.
  • Параметры актива изменены. Отслеживается изменение значение следующих полей актива:
    • Name
    • IP-адрес
    • Mac Address
    • FQDN
    • Операционная система

    Изменения полей может происходить при обновлении актива во время импорта.

  • Актив удален из KUMA. Отслеживается удаление активов вручную, а также автоматическое удаление активов, импортированных из Open Single Management Platform и KICS/KATA, данные о которых перестали поступать.
  • Сведения об уязвимости добавлены в актив. Отслеживается появление у активов новых данных об уязвимостях. Сведения об уязвимостях могут быть добавлены в актив, например, при импорте активов из Open Single Management Platform или KICS/KATA.
  • Уязвимость актива закрыта. Отслеживается удаление из актива сведений об уязвимости. Уязвимость считается закрытой, если данные о ней перестают поступать из всех источников, из которых ранее были получены сведения о ее появлении.
  • Актив добавлен в категорию. Отслеживается присвоении активу категории активов.
  • Актив удален из категории. Отслеживается удаление актива из категории активов.

По умолчанию, если аудит активов включен, при описанных выше условиях в KUMA создаются не только события аудита (Type = 4), но и базовые события (Type = 1).

События аудита активов можно отправлять, например, на хранение или в корреляторы.

В этом разделе

Настройка аудита активов

Хранение и поиск событий аудита активов

Включение и выключение аудита активов

В начало
[Topic 233934]

Настройка аудита активов

Чтобы настроить аудит активов:

  1. Откройте раздел ПараметрыАудит активов веб-интерфейса KUMA.
  2. Выполните одно из действий с тенантом, для которого вы хотите настроить аудит активов:
    • Добавьте тенант с помощью кнопки Добавить тенант, если аудит активов для требуемого тенанта настраивается впервые.

      В открывшемся окне Аудит активов выберите имя для нового тенанта.

    • Выберите существующий тенант в таблице, если аудит активов для требуемого тенанта уже был настроен.

      В открывшемся окне Аудит активов имя тенанта уже задано и его невозможно изменить.

    • Клонируйте настройки существующего тенанта, чтобы создать копию конфигурации условий для тенанта, для которого вы хотите настроить аудит активов впервые. Для этого установите флажок напротив тенанта, конфигурацию которого требуется копировать, и нажмите Клонировать. В открывшемся окне Аудит активов выберите имя тенанта, в котором будет использована конфигурация исходного тенанта.
  3. Выберите для каждого условия создания событий аудита активов, куда будут отправляться создаваемые события:
    1. В блоке параметров нужного типа событий аудита активов в раскрывающемся списке Добавить точку назначения выберите тип точки назначения, куда следует отправлять создаваемые события:
      • Выберите Хранилище, если хотите, чтобы события отправлялись в хранилище.
      • Выберите Коррелятор, если хотите, чтобы события отправлялись в коррелятор.
      • Выберите Другое, если хотите выбрать иную точку назначения.

        К этому типу относятся также сервисы коррелятора и хранилища, созданные в предыдущих версиях приложения.

      Откроется окно Добавить точку назначения, где вам требуется параметры пересылки событий.

    2. В раскрывающемся списке Точка назначения выберите существующую точку назначения или выберите пункт Создать, если хотите создать точку назначения.

      При создании новой точки назначения заполните параметры, как указано в описании точки назначения.

    3. Нажмите Сохранить.

    Точка назначения добавлена к условию создания событий аудита активов. Для каждого условия можно добавить несколько точек назначения.

  4. Нажмите Сохранить.

Аудит активов настроен. События аудита активов будут создаваться для тех условий, для которых были добавлены точки назначения. Нажмите Сохранить.

В начало
[Topic 233948]

Хранение и поиск событий аудита активов

События аудита активов считаются базовыми и не заменяют собой событий аудита. События аудита активов можно искать по следующим параметрам:

Поле события

Значение

DeviceVendor

"Лаборатория Касперского".

DeviceProduct

KUMA

DeviceEventCategory

Audit assets

В начало
[Topic 233950]

Включение и выключение аудита активов

Можно включить или выключить аудит активов для тенанта:

Чтобы включить или выключить аудит активов для тенанта:

  1. Откройте раздел ПараметрыАудит активов веб-интерфейса KUMA и выберите тенант, для которого вы хотите включить или выключить аудит активов.

    Откроется окно Аудит активов.

  2. Установите или снимите в верхней части окна флажок Выключено.
  3. Нажмите Сохранить.

По умолчанию при включенном аудите активов в KUMA при возникновении условия аудита одновременно создаются два типа событий: базовое событие и событие аудита.

Вы можете отключить создание базовых событий одновременно с событиями аудита.

Чтобы включить или выключить для отдельного условия создание базовых событий:

  1. Откройте раздел ПараметрыАудит активов веб-интерфейса KUMA и выберите тенант, для которого вы хотите включить или выключить условие создания событий аудита активов.

    Откроется окно Аудит активов.

  2. Установите или снимите напротив нужных условий флажок Выключено.
  3. Нажмите Сохранить.

Для условий с установленным флажком Выключено будут создаваться только события аудита, а базовые события создаваться не будут.

В начало
[Topic 233949]

Настраиваемые поля активов

В дополнение к существующим полям модели данных актива можно создать настраиваемые поля активов. Данные из настраиваемых полей активов отображаются при просмотре информации об активе. Данные в настраиваемые поля можно записывать вручную или через API.

Вы можете создать или изменить настраиваемые поля в веб-интерфейсе KUMA в разделе ПараметрыАктивы в таблице Настраиваемые поля. Таблица имеет следующие столбцы:

  • Название – название настраиваемого поля, которое отображается при просмотре информации об активе.
  • Значение по умолчанию – значение, которое записывается в настраиваемое поле при добавлении актива в KUMA.
  • Маска – регулярное выражение, которому должно соответствовать значение, записываемое в поле.

Чтобы создать настраиваемое поле активов:

  1. В разделе веб-интерфейса KUMA ПараметрыАктивы нажмите на кнопку Добавить поле.

    В таблице Настраиваемые поля добавится пустая строка. Вы можете добавить сразу несколько строк с параметрами настраиваемого поля.

  2. Заполните столбцы с параметрами настраиваемого поля:
    • Название (обязательно) – от 1 до 128 символов в кодировке Unicode.
    • Значение по умолчанию – от 1 до 1024 символов в кодировке Unicode.
    • Маска – от 1 до 1024 символов в кодировке Unicode.
  3. Нажмите Сохранить.

К модели данных активов добавлено настраиваемое поле.

Чтобы удалить или изменить настраиваемое поле активов:

  1. Откройте раздел веб-интерфейса KUMA ПараметрыАктивы.
  2. Сделайте необходимые изменения в таблице Настраиваемые поля:
    • Вы можете удалить настраиваемые поля, нажав на значок cross напротив строки с параметрами нужного поля. При удалении поля также удаляются записанные в это поле данные для всех активов.
    • Вы можете изменить значения параметров полей. При изменении значения по умолчанию уже записанные в поля активов данные не меняются.
    • Измените порядок отображения полей, перетягивая строки мышью за значок DragIcon.
  3. Нажмите Сохранить.

Изменения внесены.

В начало
[Topic 242222]

Активы критической информационной инфраструктуры

В KUMA можно помечать активы, относящиеся к критической информационной инфраструктуре (КИИ) Российской Федерации. Это позволяет ограничивать возможности пользователей KUMA по обращению с алертами и инцидентами, к которым относятся активы, относящиеся к объектам КИИ.

Присваивать активам КИИ-категорию можно, если в KUMA действует лицензия с модулем GosSOPKA.

Присвоить активу КИИ-категорию могут главные администраторы, а также пользователи, в профиле которых установлен флажок Доступ к объектам КИИ. Если ни одно из этих условий не выполнено, для пользователя действуют следующие ограничения:

  • Не отображается блок параметров Категория КИИ в окнах Информация об активе и Изменить актив. Невозможно просмотреть или изменить КИИ-категорию актива.
  • Не доступны для просмотра алерты и инциденты, к которым относятся активы с КИИ категорией. Над такими алертами и инцидентами невозможно производить никакие операции, в таблице алертов и инцидентов они не отображаются.
  • Не отображается столбец КИИ в таблицах алертов и инцидентов.
  • Недоступны операции поиска и закрытия алертов через REST API.

Категория КИИ актива отображается в окне Информация об активе в блоке параметров Категория КИИ.

Чтобы изменить КИИ-категорию актива:

  1. В веб-интерфейсе KUMA в разделе Активы выберите нужный актив.

    Откроется окно Информация об активе.

  2. Нажмите на кнопку Изменить и в раскрывающемся списке выберите одно из доступных значений:
    • Информационный ресурс не является объектом КИИ – значение по умолчанию, которое означает, что у актива нет категории КИИ. С таким активом, а также с алертами и инцидентами, к которым относится этот актив, могут взаимодействовать пользователи, у которых в профиле не установлен флажок Доступ к объектам КИИ.
    • Объект КИИ без категории значимости.
    • Объект КИИ третьей категории значимости.
    • Объект КИИ второй категории значимости.
    • Объект КИИ первой категории значимости.
  3. Нажмите Сохранить.
В начало
[Topic 242693]