Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Руководство администратора

Интеграция с другими решениями

Импорт информации об активах из RedCheck

Kaspersky Unified Monitoring and Analysis Platform
Нет результатов
База знаний Онлайн-справка
FAQ Обзор решения Форум Запрос в поддержку Видео

Импорт информации об активах из RedCheck

05 апреля 2024

ID 259370

Скачать PDF

Эта интеграция является примером и может потребовать дополнительной настройки в зависимости от используемых версий и особенностей инфраструктуры.
Совместимость подтверждена только для KUMA версии 2.0 и выше и RedCheck версии 2.6.8 и выше.
Условия премиальной технической поддержки не распространяются на эту интеграцию, запросы на поддержку рассматриваются без гарантированного времени ответа.

RedCheck – это система контроля защищенности и управления информационной безопасностью организации.

Вы можете импортировать в KUMA сведения об активах из отчетов сканирования сетевых устройств, проведенного с помощью RedCheck.

Импорт доступен из простых отчетов "Уязвимости" и "Инвентаризация" в формате CSV, сгруппированных по хостам.

Импортированные активы отображаются в веб-интерфейсе KUMA в разделе Активы. При необходимости вы можете редактировать параметры активов.

Импорт данных происходит через API с помощью утилиты redcheck-tool.py. Для работы утилиты требуется Python версии 3.6 или выше и следующие библиотеки:

  • csv;
  • re;
  • json;
  • requests;
  • argparse;
  • sys.

Чтобы импортировать данные об активах из отчета RedCheck:

  1. Сформируйте в RedCheck отчет о сканировании сетевых активов в формате CSV и скопируйте файл отчета на сервер со скриптом.

    Подробнее о задачах на сканирование и форматах выходных файлов см. в документации RedCheck.

  2. Создайте файл с токеном для доступа к KUMA REST API.

    Учетная запись, для которой создается токен, должна отвечать следующим требованиям:

  3. Скачайте скрипт по следующей ссылке:

    https://box.kaspersky.com/d/2dfd1d677c7547a7ac1e/

  4. Скопируйте утилиту redcheck-tool.py на сервер с Ядром KUMA и сделайте файл утилиты исполняемым при помощи команды:

    chmod +x <путь до файла redcheck-tool.py>

  5. Запустите утилиту redcheck-tool.py с помощью следующей команды:

    python3 redcheck-tool.py --kuma-rest <адрес и порт сервера KUMA REST API> --token <API-токен> --tenant <название тенанта, куда будут помещены активы> --vuln-report <полный путь к файлу отчета "Уязвимости"> --inventory-report <полный путь к файлу отчета "Инвентаризация">

    Пример:

    python3 --kuma-rest example.kuma.com:7223 --token 949fc03d97bad5d04b6e231c68be54fb --tenant Main --vuln-report /home/user/vuln.csv --inventory-report /home/user/inventory.csv

    Вы можете использовать дополнительные флаги и команды для импорта. Например, команду для отображения расширенного отчета о полученных активах -v. Подробное описание доступных флагов и команд приведено в таблице "Флаги и команды утилиты redcheck-tool.py". Также для просмотра информации о доступных флагах и командах вы можете использовать команду --help.

Информация об активах будет импортирована из отчета RedCheck в KUMA. В консоли будут отображаться сведения о количестве новых и обновленных активов.

Пример:

inventory has been imported for 2 host(s)

software has been imported for 5 host(s)

vulnerabilities has been imported for 4 host(s)

 

Пример расширенной информации об импорте:

[inventory import] Host: localhost Code: 200 Response: {'insertedIDs': {'0': '52ca11c6-a0e6-4dfd-8ef9-bf58189340f8'}, 'updatedCount': 0, 'errors': []}

[inventory import] Host: 10.0.0.2 Code: 200 Response: {'insertedIDs': {'0': '1583e552-5137-4164-92e0-01e60fb6edb0'}, 'updatedCount': 0, 'errors': []}

[software import][error] Host: localhost Skipped asset with FQDN localhost or IP 127.0.0.1

[software import] Host: 10.0.0.2 Code: 200 Response: {'insertedIDs': {}, 'updatedCount': 1, 'errors': []}

[vulnerabilities import] Host: 10.0.0.2 Code: 200 Response: {'insertedIDs': {}, 'updatedCount': 1, 'errors': []}

[vulnerabilities import] Host: 10.0.0.1 Code: 200 Response: {'insertedIDs': {'0': '0628f683-c20c-4107-abf3-d837b3dbbf01'}, 'updatedCount': 0, 'errors': []}

[vulnerabilities import] Host: localhost Code: 200 Response: {'insertedIDs': {}, 'updatedCount': 1, 'errors': []}

[vulnerabilities import] Host: 10.0.0.3 Code: 200 Response: {'insertedIDs': {'0': 'ed01e0a8-dcb0-4609-ab2b-91e50092555d'}, 'updatedCount': 0, 'errors': []}

inventory has been imported for 2 host(s)

software has been imported for 1 host(s)

vulnerabilities has been imported for 4 host(s)

Поведение утилиты при импорте активов:

  • KUMA перезаписывает данные импортированных через API активов и удаляет сведения об их устраненных уязвимостях.
  • KUMA пропускает активы с недействительными данными.

    Флаги и команды утилиты redcheck-tool.py

    Флаги и команды

    Обязательный

    Описание

    --kuma-rest <адрес и порт сервера KUMA>

    Да

    По умолчанию для обращения по API используется порт 7223. При необходимости его можно изменить.

    --token <токен>

    Да

    Значение в параметре должно содержать только токен.

    Учетной записи, для которой генерируется API-токен, должна быть присвоена роль Администратора тенанта или Аналитика второго уровня.

    --tenant <название тенанта>

    Да

    Название тенанта KUMA, в который будут импортированы активы из отчета RedCheck.

    --vuln-report <полный путь к файлу отчета "Уязвимости">

    Да

    Файл отчета "Уязвимости" в формате CSV.

    --inventory-report <полный путь к файлу отчета "Инвентаризация">

    Нет

    Файл отчета "Инвентаризация" в формате CSV.

    -v

    Нет

    Отображение расширенной информации об импорте активов.

    Возможные ошибки

    Сообщение об ошибке

    Описание

    Tenant %w not found

    Имя тенанта не найдено.

    Tenant search error: Unexpected status Code: %d

    При поиске тенанта был получен неожиданный код ответа HTTP.

    Asset search error: Unexpected status Code: %d

    При поиске актива был получен неожиданный код ответа HTTP.

    [%w import][error] Host: %w Skipped asset with FQDNlocalhost or IP 127.0.0.1

    При импорте информации инвентаризации/уязвимостей был пропущен хост сfqdn=localhost или ip=127.0.0.1.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!