Kaspersky Anti Targeted Attack Platform (KATA) 3.0.0: на­строй­ка ис­точ­ни­ка

На­строй­ку ис­точ­ни­ка нуж­но вы­пол­нять от име­ни учет­ной за­пи­си, до­бав­лен­ной че­рез веб-ин­тер­фейс в группу ад­ми­ни­стра­то­ров ис­точ­ни­ка.

При ис­поль­зо­ва­нии в IT-ин­фра­струк­ту­ре ор­га­ни­за­ции меж­се­те­во­го экра­на или дру­гих средств для кон­тро­ля се­те­во­го тра­фи­ка тре­бу­ет­ся на­стро­ить в них пра­ви­ла, раз­ре­ша­ю­щие тра­фик меж­ду уз­лом ис­точ­ни­ка и уз­лом MP 10 Agent че­рез пор­ты UDP 514 или TCP 1468 (в за­ви­си­мо­сти от ис­поль­зу­е­мо­го про­то­ко­ла) в на­прав­ле­нии узла MP 10 Agent.

Ис­точ­ник под­дер­жи­ва­ет за­пись со­бы­тий стан­дар­та syslog.

Что­бы на­стро­ить на ис­точ­ни­ке жур­на­ли­ро­ва­ние и от­прав­ку со­бы­тий на внеш­ний syslog-сер­вер:Вой­ди­те в ис­точ­ник под име­нем учет­ной за­пи­си, вхо­дя­щей в группу ад­ми­ни­стра­то­ров ис­точ­ни­ка.В ад­рес­ной стро­ке бра­у­зе­ра вве­ди­те IP-ад­рес или до­мен­ное имя ис­точ­ни­ка.В ле­вой ча­сти окна на­жми­те и в рас­крыв­шем­ся меню вы­бе­ри­те пункт SIEM-си­сте­ма.Вклю­чи­те уда­лен­ный жур­нал.В поле Хост/IP вве­ди­те IP-ад­рес узла MP 10 Agent.В поле Порт вве­ди­те 514.В рас­кры­ва­ю­щем­ся спис­ке Про­то­кол вы­бе­ри­те UDP.
Та­ким же об­ра­зом вы мо­же­те на­стро­ить от­прав­ку со­бы­тий на TCP-порт 1468.
В поле Пе­ри­о­дич­ность сиг­на­ла ука­жи­те в ми­ну­тах ин­тер­вал от­прав­ки со­об­ще­ний о ра­бо­то­спо­соб­но­сти ис­точ­ни­ка (heartbeat message).На­жми­те кноп­ку При­ме­нить.
Жур­на­ли­ро­ва­ние и от­прав­ка со­бы­тий на ис­точ­ни­ке на­стро­е­ны.