Настройка интеграции в R-Vision SOAR
В этом разделе описывается интеграция KUMA с R-Vision SOAR на стороне R-Vision SOAR.
Интеграция в R-Vision SOAR настраивается в разделе Настройки веб-интерфейса R-Vision SOAR. Подробнее о настройке R-Vision SOAR см. в документации этой программы.
Настройка интеграции с KUMA состоит из следующих этапов:
- Настройка роли пользователя R-Vision SOAR
- Присвойте используемому для интеграции пользователю R-Vision SOAR системную роль Менеджер по управлению инцидентами. Роль можно присвоить в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → Пользователи системы, выбрав нужного пользователя. Роль добавляется в блоке параметров Системные роли.
Пользователь R-Vision SOAR версии 4.0 с ролью Менеджер по управлению инцидентами
Пользователь R-Vision SOAR версии 5.0 с ролью Менеджер по управлению инцидентами
- Убедитесь, что API-токен используемого для интеграции пользователя R-Vision SOAR указан в секрете в веб-интерфейсе KUMA. Токен отображается в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → API.
- Присвойте используемому для интеграции пользователю R-Vision SOAR системную роль Менеджер по управлению инцидентами. Роль можно присвоить в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → Пользователи системы, выбрав нужного пользователя. Роль добавляется в блоке параметров Системные роли.
- Настройка полей инцидентов R-Vision SOAR и алертов KUMA
- Добавьте поля инцидента ALERT_ID и ALERT_URL.
- Настройте категорию инцидентов R-Vision SOAR, создаваемых по алертам KUMA. Это можно сделать в веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Категории инцидентов. Добавьте новую или измените существующую категорию инцидентов, указав в блоке параметров Поля категорий созданные ранее поля инцидентов
Alert IDиAlert URL. ПолеAlert IDможно сделать скрытым.Категории инцидентов с данными из алертов KUMA в R-Vision SOAR версии 4.0
Категории инцидентов с данными из алертов KUMA в R-Vision SOAR версии 5.0
- Запретите редактирование ранее созданных полей инцидентов
Alert IDиAlert URL. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Представления выберите категорию инцидентов R-Vision SOAR, которые будут создаваться по алертам KUMA, и установите рядом с полямиAlert IDиAlert URLзначок замка.Поле Alert URL недоступно для редактирования в R-Vision SOAR версии 4.0
Поле Alert URL недоступно для редактирования в R-Vision SOAR версии 5.0
- Создание коллектора и коннектора в R-Vision SOAR
- Создание правила на закрытие алерта в KUMA
Создайте правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision SOAR.
В R-Vision SOAR теперь настроена интеграция с KUMA. Если интеграция также настроена в KUMA, при появлении алертов в KUMA информация о них будет отправляться в R-Vision SOAR для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision SOAR.
