Настройка отображения ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации о событии KUMA

При получении обнаружений Kaspersky Endpoint Detection and Response в KUMA создается алерт для каждого обнаружения. Вы можете настроить отображение ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации об алерте KUMA.

Вы можете настроить отображение ссылки на обнаружение, если используете только один сервер Central Node Kaspersky Endpoint Detection and Response. Если Kaspersky Endpoint Detection and Response используется в режиме распределенного решения, настроить отображение ссылок в KUMA на обнаружения Kaspersky Endpoint Detection and Response невозможно.

Для настройки отображения ссылки на обнаружение в информации об алерте KUMA вам требуется выполнить действия в веб-интерфейсе Kaspersky Endpoint Detection and Response и KUMA.

В веб-интерфейсе Kaspersky Endpoint Detection and Response вам нужно настроить интеграцию программы с KUMA в качестве SIEM-системы. Подробнее о том, как настроить интеграцию, см. в справке Kaspersky Anti Targeted Attack Platform в разделе Настройка интеграции с SIEM-системой.

Настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

1. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории.
2. Создание правила корреляции.
3. Создание коррелятора.

Вы можете использовать преднастроенное корреляционное правило. В этом случае настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

1. Создание коррелятора.

   В качестве правила корреляции вам нужно выбрать правило [OOTB] KATA Alert.

2. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории КАТА standAlone.

Шаг 1. Добавление актива и назначение ему категории

Предварительно вам нужно создать категорию, которая будет назначена добавляемому активу.

Чтобы добавить категорию:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. На вкладке Все активы разверните список категорий тенанта, нажав на кнопку рядом с его названием.
3. Выберите требуемую категорию или подкатегорию и нажмите на кнопку Добавить категорию.

   В правой части окна веб-интерфейса отобразится область деталей Добавить категорию.

4. Укажите параметры категории:
   1. В поле Название введите название категории.
   2. В поле Родительская категория укажите место категории в дереве категорий. Для этого нажмите на кнопку и выберите родительскую категорию для создаваемой вами категории.

      Выбранная категория отобразится в поле Родительская категория.

   3. При необходимости укажите значения для следующих параметров:
      • Назначьте уровень важности категории в раскрывающемся списке Уровень важности.

        Указанный уровень важности присваивается корреляционным событиям и алертам, связанным с этим активом.

      • При необходимости в поле Описание добавьте описание категории.
      • В раскрывающемся списке Способ категоризации выберите, как категория будет пополняться активами. В зависимости от выбора может потребоваться указать дополнительные параметры:
        • Вручную – активы можно привязать к категории только вручную.
        • Активно – активы будут с определенной периодичностью привязываться к категории, если удовлетворяют заданному фильтру.
          1. В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.

             Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.

          2. В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.

             Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять с помощью кнопок Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.

             Операнды и операторы фильтра категоризации

             Операнд	Операторы	Комментарий
             Номер сборки	>, >=, =, <=, <
             ОС	=, like	Оператор like обеспечивает регистронезависимый поиск.
             IP-адрес	inSubnet, inRange	IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24). При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.
             Полное доменной имя	=, like	Оператор like обеспечивает регистронезависимый поиск.
             CVE	=, in	Оператор in позволяет указать массив значений.
             ПО	=, like
             КИИ	in	Можно выбрать более одного значения.
             Последнее обновление антивирусных баз	>=,<=
             Последнее обновление информации	>=,<=
             Последнее обновление защиты	>=,<=
             Время начала последней сессии	>=,<=
             Расширенный статус KSC	in	Расширенный статус устройства. Можно выбрать более одного значения.
             Статус постоянной защиты	=	Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.
             Статус шифрования	=
             Статус защиты от спама	=
             Статус антивирусной защиты почтовых серверов	=
             Статус защиты данных от утечек	=
             Идентификатор расширенного статуса KSC	=
             Статус Endpoint Sensor	=
             Последнее появление в сети	>=,<=

          3. С помощью кнопки Проверить условия убедитесь, что указанный фильтр верен: при нажатии на кнопку отображается окно Активы, найденные по заданным условиям с перечнем активов, удовлетворяющих условиям поиска.
        • Реактивно – категория будет наполняться активами с помощью правил корреляции.
5. Нажмите на кнопку Сохранить.

Чтобы добавить актив:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. Нажмите на кнопку Добавить актив.

   В правой части окна откроется область деталей Добавить актив.

3. Укажите следующие параметры актива:
   1. В поле Название актива введите имя актива.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать актив.
   3. В поле IP-адрес укажите IP-адрес сервера Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения.
   4. В поле Категории выберите категорию, которую добавили на предыдущем этапе.

      Если вы используете предустановленное корреляционное правило, вам нужно выбрать категорию КАТА standAlone.

   5. При необходимости укажите значения для следующих полей:
      • В поле Полное доменное имя укажите FQDN сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле MAC-адрес укажите MAC-адрес сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле Владелец укажите имя владельца актива.
4. Нажмите на кнопку Сохранить.

Шаг 2. Добавление правила корреляции

Чтобы добавить правило корреляции:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Правила корреляции и нажмите на кнопку Создать правило корреляции.
3. На вкладке Общие укажите следующие параметры:
   1. В поле Название укажите название правила.
   2. В раскрывающемся списке Тип выберите simple.
   3. В поле Наследуемые поля добавьте следующие поля: DeviceProduct, DeviceAddress, EventOutcome, SourceAssetID, DeviceAssetID.
   4. При необходимости укажите значения для следующих полей:
      • В поле Частота срабатывания укажите максимальное количество срабатываний правила в секунду.
      • В поле Уровень важности укажите уровень важности алертов и корреляционных событий, которые будут созданы в результате срабатывания правила.
      • В поле Описание укажите любую дополнительную информацию.
4. На вкладке Селекторы → Параметры укажите следующие параметры:
   1. В раскрывающемся списке Фильтр выберите Создать.
   2. В поле Условия нажмите на кнопку Добавить группу.
   3. В поле с оператором для добавленной группы выберите И.
   4. Добавьте условие для фильтрации по значению KATA:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceProduct.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите KATA.
   5. Добавьте условие для фильтрации по категории:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceAssetID.
      5. В поле оператор выберите inCategory.
      6. В поле Правый операнд выберите константа.
      7. Нажмите на кнопку .
      8. Выберите категорию, в которую вы поместили актив сервера Central Node Kaspersky Endpoint Detection and Response.
      9. Нажмите на кнопку Сохранить.
   6. В поле Условия нажмите на кнопку Добавить группу.
   7. В поле с оператором для добавленной группы выберите ИЛИ.
   8. Добавьте условие для фильтрации по идентификатору класса события:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceEventClassID.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите taaScanning.
   9. Повторите шаги 1–7 пункта f для каждого из следующих идентификаторов классов событий:
      • file_web.
      • file_mail.
      • file_endpoint.
      • file_external.
      • ids.
      • url_web.
      • url_mail.
      • dns.
      • iocScanningEP.
      • yaraScanningEP.
5. На вкладке Действия укажите следующие параметры:
   1. В разделе Действия откройте раскрывающийся список На каждом событии.
   2. Установите флажок Отправить на дальнейшую обработку.
   3. В разделе Обогащение нажмите на кнопку Добавить обогащение.
   4. В раскрывающемся списке Тип источника данных выберите шаблон.
   5. В поле Шаблон введите https://{{.DeviceAddress}}:8443/katap/#/alerts?id={{.EventOutcome}}.
   6. В раскрывающемся списке Целевое поле выберите DeviceExternalID.
   7. При необходимости переведите переключатель Отладка в активное положение, чтобы зарегистристрировать информацию, связанную с работой ресурса, в журнал.
6. Нажмите на кнопку Сохранить.

Шаг 3. Создание коррелятора

Вам нужно запустить мастер установки коррелятора. На шаге 3 мастера вам требуется выбрать правило корреляции, добавленное при выполнении этой инструкции.

После завершения создания коррелятора в информации об алертах, созданных при получении обнаружений из Kaspersky Endpoint Detection and Response, будет отображаться ссылка на эти обнаружения. Ссылка отображается в информации о корреляционном событии (раздел Связанные события), в поле DeviceExternalID.

Если вы хотите, чтобы в поле DeviceHostName в информации об обнаружении отображался FQDN сервера Central Node Kaspersky Endpoint Detection and Response, вам нужно создать запись для этого сервера в системе DNS и на шаге 4 мастера создать правило обогащения с помощью DNS.