Запуск задач Kaspersky Security Center автоматически

Корреляторы могут запускать задачи Kaspersky Security Center автоматически. При выполнении определенных условий коррелятор активирует правила реагирования, содержащие список задач Kaspersky Security Center для запуска и определения соответствующих устройств.

Чтобы настроить ресурс реагирования, который может использоваться корреляторами для автоматического запуска задач Kaspersky Security Center:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Реагирование.
2. Нажмите кнопку Добавить реагирование и задайте параметры, как описано ниже:
   • В поле Имя введите имя ресурса для его идентификации.
   • В раскрывающемся списке Тип выберите ksctasks (задачи Kaspersky Security Center).
   • В раскрывающемся списке Задача Kaspersky Security Center выберите задачи, запускаемые при срабатывании коррелятора, связанного с этим ресурсом реагирования.

     Вы можете выбрать несколько задач. При активации реагирования из списка задач выбирается только первая задача, соответствующая выбранному устройству. Остальные подходящие задачи игнорируются. Если требуется запустить несколько задач при выполнении одного условия, необходимо создать несколько правил реагирования.

   • В поле Поле события выберите поля события, вызывающие срабатывание коррелятора, в которых определены устройства, для которых должна быть запущена задача. Возможные значения:
     • SourceAssetID
     • DestinationAssetID
     • DeviceAssetID
3. В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться создаваемым ресурсом. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.

   Создание фильтра в ресурсах

   1. В раскрывающемся меню Фильтр выберите пункт Создать.
   2. Если хотите сохранить фильтр в качестве отдельного ресурса, включите переключатель Сохранить фильтр. Это может оказаться полезным, если вы решите использовать один и тот же фильтр в разных сервисах. По умолчанию переключатель выключен.
   3. Если вы включили переключатель Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
   4. В разделе условия задайте условия, которым должны соответствовать отсеиваемые события:
      • С помощью кнопки Добавить условие добавляются условия фильтра, можно выбрать два значения (левый и правый операнды) и назначить операцию, которую вы хотите выполнить с выбранными значениями. Результат операции – Истина (True) или Ложь (False).
        • В раскрывающемся списке оператор необходимо выбрать функцию, которую должен выполнять фильтр.

          Операторы фильтров

          • = – левый операнд равен правому операнду.
          • < – левый операнд меньше правого операнда.
          • <= – левый операнд меньше или равен правому операнду.
          • > – левый операнд больше правого операнда.
          • >= – левый операнд больше или равен правому операнду.
          • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
          • contains – левый операнд содержит значения правого операнда.
          • startsWith – левый операнд начинается с одного из значений правого операнда.
          • endsWith – левый операнд заканчивается одним из значений правого операнда.
          • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
          • inActiveList – этот фильтр имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
          • inCategory – устройству в левом операнде назначается по крайней мере одна из категорий устройств правого операнда.
          • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
          • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.

          С помощью флажка с учетом регистра в раскрывающемся списке оператор можно указать, требуется ли учитывать регистр значений, переданных в фильтр. По умолчанию флажок снят.

        • В раскрывающихся списках Левый операнд и Правый операнд необходимо выбрать, откуда поступят данные, с которыми произведет действие фильтр. В результате выбора появляются дополнительные параметры, с помощью которых необходимо точно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
        • С помощью раскрывающегося списка Если можно выбрать, требуется ли создать отрицательное условие фильтра.

        Условие можно удалить с помощью кнопки .

      • С помощью кнопки Добавить группу добавляются группы условий. Оператор И можно переключать между значениями И, ИЛИ, НЕ.

        Группу условий можно удалить с помощью кнопки .

      • С помощью кнопки Добавить фильтр в условия добавляются существующие ресурсы фильтров, которые выбираются в раскрывающемся списке Выберите фильтр. В ресурс вложенного фильтра можно перейти с помощью кнопки .

        Вложенный фильтр можно удалить с помощью кнопки .

4. При необходимости в поле Рабочие процессы укажите количество процессов реагирования, которые можно запускать одновременно.
5. Нажмите Сохранить.

Ресурс реагирования создан. Теперь его можно связать с коррелятором, который будет вызывать его, запуская тем самым задачу Kaspersky Security Center.

В начало