Kaspersky Security Center 10

Пакет управления для Kaspersky Security Center 10

В Kaspersky Security Center доступнен мониторинг состояния Сервера администрирования и управляемых им продуктов в Microsoft System Center Operations Manager (SCOM). Данные с серверов Kaspersky Security Center собираются посредством службы SNMP. Управление доступно с помощью xml-файла, импортируемого в SCOM.
Read More...

Настройка мониторинга состояния SCOM в Kaspersky Security Center 10

Статья относится к Kaspersky Security Center 10:

Service Pack 3 (версия 10.5.1781.0);
Service Pack 2 Maintenance Release 1 (версия 10.4.343).

Механизм работы

Каждые 6 часов SCOM запускает задачи Reg.Discovery_x86 и Reg.Discovery_x64. Задачи отбирают компьютеры с наличием параметра ServerID в ветках реестра HKEY_LOCAL_MACHINE \SOFTWARE\ KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags и HKEY_LOCAL_MACHINE \SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags среди контролируемых компьютеров в SCOM.

Считается, что на найденных, в результате выполнения задач, компьютерах установлен Kaspersky Security Center. Сформированный набор компьютеров образует собой набор объектов класса KL.KSC. Для каждого объекта класса KL.KSC каждые 30 минут запускается задача, считывающая значения параметров статистики Kaspersky Security Center посредством SNMP.

Список контролируемых параметров

Показатель	Тип значений	OID	Описание
noAntivirusSoftware	INTEGER { on(1), off(0) }	.1.3.6.1.4.1.23668.1093.1.1.2.1	This reason shows that in administration's groups too many hosts without Antivirus software.
hostsLicenceExpired	Counter32	.1.3.6.1.4.1.23668.1093.1.1.10	The number of hosts with the expired licence.
updatesStatus	INTEGER { OK(0), Info(1), Warning(2), Critical(3) }	.1.3.6.1.4.1.23668.1093.1.2.1	Up to date base's status.
serverNotUpdated	INTEGER { on(1), off(0) }	.1.3.6.1.4.1.23668.1093.1.2.2.1	This reason shows that server was not updated for a long time.
hostsNotUpdated	Counter32	.1.3.6.1.4.1.23668.1093.1.2.4	The number of hosts not up to date.
hostsAntivirusNotRunning	Counter32	.1.3.6.1.4.1.23668.1093.1.3.3	The number of hosts without running antivirus.
hostsRealtimeNotRunning	Counter32	.1.3.6.1.4.1.23668.1093.1.3.4	The number of hosts without running real time protection.
hostsRealtimeLevelChanged	Counter32	.1.3.6.1.4.1.23668.1093.1.3.5	The number of hosts with not acceptable level of real time protection.
hostsNotScannedLately	Counter32	.1.3.6.1.4.1.23668.1093.1.4.3	The number of hosts that has not been scanned lately.
hostsNotConnectedLongTime	Counter32	.1.3.6.1.4.1.23668.1093.1.5.5	The number of hosts that has not connected to the server for a long time.
criticalEventsCount	Counter32	.1.3.6.1.4.1.23668.1093.1.6.3	The number of critical events on the server.
hostsTooManyThreats	Counter32	.1.3.6.1.4.1.23668.1093.1.3.2.5	The number of hosts with too many threats.
logicalNetworkStatus	INTEGER { OK(0), Info(1), Warning(2), Critical(3) }	.1.3.6.1.4.1.23668.1093.1.5.1	Status of the logical network of the Administration Server.
eventsStatus	INTEGER { OK(0), Info(1), Warning(2), Critical(3) }	.1.3.6.1.4.1.23668.1093.1.6.1	Status of the event's subsystem.

Каждый из показателей контролируется отдельным монитором. Реализовано три типа мониторов:

Монитор для показателя типа INTEGER со статусами Health и Critical (on = 1, off= 0 );
Монитор для показателя типа INTEGER со статусами Health, Warning и Critical (OK=0, Info=1, Warning=2, Critical=3) ;
Монитор для показателя типа Counter32 со статусами Health, Warning и Critical.

На все мониторы данного типа по умолчанию выставлены пороги:

OK - менее или равно 3;
Warning - более 3 и менее 10;
Critical - более 10.

Каждый монитор при установке значения Warning или Critical генерирует соответствующее предупреждение. Все предупреждения закрываются автоматически при устранении проблемы.

Настройка SNMP

Компьютер с Сервером администрирования:

Перейдите в раздел Службы
Выберите службу SNMP (SNMP Service)
Перейдите в свойства SNMP Service
Перейдите на вкладку Traps
В полях Community name и Trap Destination укажите имя или IP-адрес компьютера, на котором установлен SCOM.
По умолчанию в Management Pack используется Community name “public”
Перейдите на вкладку Security
Установите флаг Send authentication trap.
Добавьте определенное на закладке Traps Community name и укажите права READ ONLY в поле Accepted community names.
Установите флажок Accept SNMP packets from any hosts.
Если установлен флажок Accept SNMP packets from these hosts необходимо указать имя или IP-адрес компьютера, на котором развернут System Center Operations Manager.

Компьютер с System Center Operations Manager.

Перейдите в раздел Службы
Выберите службу SNMP (SNMP Service)
Перейдите в свойства SNMP Service
Перейдите на вкладку Security
Задайте имя "public" в поле Community name (“public”) и укажите права NOTIFY.
Установите флажок Accept SNMP packets from any hosts.
Если установлен флажок Accept SNMP packets from these hosts необходимо указать имя или IP-адрес компьютера, на котором развернут Kaspersky Security Center.

Убедитесь, что настройки работают корректно с помощью утилиты Net-SNMP или ManageEngine MibBrowser

Настройка System Center Operations Manager

По умолчанию в Management Pack используется Community name “public”.
Установите значение Community name перед импортом:

Скачайте файл KL.KSC.xml
В разделе <Discovery ID="KL.KSC.Server.Discovery" Target="KL.KSC.Reg" Enabled="true" ConfirmDelivery="false" Remotable="true" Priority="Normal"> отредактируйте 98-ю строку Community='public'.

Измените период запуска задач поиска:

Скачайте файл KL.KSC.xml
Задайте свое значение времени
- Для компьютеров с установленным Kaspersky Security Center по умолчанию установлена периодичность запуска 6 часов (21600 сек).
  Отредактируйте строку <Frequency>21600</Frequency> в разделе <Discovery ID="KL.KSC.Reg.Discovery" Target="Windows!Microsoft.Windows.Computer" Enabled="true" ConfirmDelivery="false" Remotable="true" Priority="Normal">.
- Для задачи сбора статистики KSC посредством SNMP по умолчанию установлена периодичность запуска 30 мин (1800 сек.).
  Отредактируйте строку <IntervalSeconds>1800</IntervalSeconds> в разделе <Discovery ID="KL.KSC.Server.Discovery" Target="KL.KSC.Reg" Enabled="true" ConfirmDelivery="false" Remotable="true" Priority="Normal">.

Вы можете изменить Community name и периодичность запуска задач после импорта в SCOM. Для этого отредактируйте свойства объектов Reg.Discovery и Server.Discovery в разделе Authoring в консоли SCOM.

Импорт Management Pack KL.KSC.xml в SCOM

Откройте панель управления SCOM
Выберите Создать → Группа для класса KL.KSC.
В группе создайте State View и Alert View
Выберите контролируемые параметры на вкладке Display.
Задайте свои пороги для мониторов при необходимости.

Management Pack KB

Management Packs

Management Pack	Version
KL.KSC	1.0.0.10

Elements

TypeDefinitions

EntityTypes

ClassType (2)

Monitoring

Discovery (3)
Monitors

UnitMonitor (13)