Kaspersky Unified Monitoring and Analysis Platform
2.0
Русский
Интеграция с другими решениями  >  Интеграция с R-Vision Incident Response Platform  >  Настройка интеграции в KUMA

Настройка интеграции в KUMA

В этом разделе описывается интеграция KUMA с R-Vision IRP на стороне KUMA.

Интеграция в KUMA настраивается в разделе веб-интерфейса KUMA ПараметрыIRP / SOAR.

Чтобы настроить интеграцию с R-Vision IRP:

  1. Откройте раздел веб-интерфейса KUMA РесурсыСекреты.

    Отобразится список доступных секретов.

  2. Нажмите кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс будет использоваться для хранения токена для API-запросов в R-Vision IRP.

    Откроется окно секрета.

  3. Введите данные секрета:
    1. В поле Название укажите имя для добавляемого секрета. Длина названия должна быть от 1 до 128 символов Юникода.
    2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
    3. В раскрывающемся списке Тип выберите token.
    4. В поле Токен введите свой API-токен для R-Vision IRP.

      Токен можно узнать в веб-интерфейсе R-Vision IRP в разделе НастройкиОбщиеAPI.

    5. При необходимости в поле Описание добавьте описание секрета. Длина описания должна быть от 1 до 256 символов Юникода.
  4. Нажмите Сохранить.

    API-токен для R-Vision IRP сохранен и теперь может использоваться в других ресурсах KUMA.

  5. Откройте раздел веб-интерфейса KUMA Параметры IRP / SOAR.

    Откроется окно с параметрами интеграции R-Vision IRP.

  6. Измените необходимые параметры:
    • Выключено – установите этот флажок, если хотите выключить интеграцию R-Vision IRP с KUMA.
    • В раскрывающемся списке Секрет выберите ресурс секрета, созданный ранее.

      Можно создать новый секрет, нажав на кнопку со значком плюса. Созданный секрет будет сохранен в разделе РесурсыСекреты.

    • URL (обязательно) – URL хоста сервера R-Vision IRP.
    • Название поля для размещения идентификаторов алертов KUMA (обязательно) – имя поля R-Vision IRP, в которое будет записываться идентификатор алерта KUMA.
    • Название поля для размещения URL алертов KUMA (обязательно) – имя поля R-Vision IRP, в которое будет помещаться ссылка на алерт KUMA.
    • Категория (обязательно) – категория алерта R-Vision IRP, который создается при получении данных об алерте от KUMA.
    • Поля событий​ KUMA для отправки в IRP / SOAR (обязательно) – раскрывающийся список для выбора полей событий KUMA, которые следует отправлять в R-Vision IRP.
    • Группа настроек Уровень важности (обязательно) – используется для сопоставления значений уровня важности KUMA со значениями уровня важности R-Vision IRP.
  7. Нажмите Сохранить.

В KUMA теперь настроена интеграция с R-Vision IRP. Если интеграция также настроена в R-Vision IRP, при появлении алертов в KUMA информация о них будет отправляться в R-Vision IRP для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision IRP.

Если вы работаете с несколькими тенантами и хотите интегрироваться с R-Vision IRP, названия тенантов должны соответствовать коротким названиям компаний в R-Vision IRP.

Идентификатор статьи: 224436, Последнее изменение: 9 мар. 2024 г.
В начало