Работа с алертами с помощью R-Vision IRP
После того как интеграция KUMA и R-Vision IRP настроена, данные об алертах KUMA поступают в R-Vision IRP. Изменение параметров алертов в KUMA отражается в R-Vision IRP. Изменение статусов алертов в KUMA или R-Vision IRP, кроме закрытия, также отражается в другой системе.
Если настроена интеграция KUMA и R-Vision IRP, вы можете выполнять следующее:
- Передавать сведения о киберугрозах из KUMA в R-Vision IRP
Из KUMA в R-Vision IRP автоматически передаются сведения об обнаруженных алертах. При этом в R-Vision IRP создается инцидент.
В R-Vision IRP передаются следующие сведения об алерте KUMA:
- идентификатор;
- название;
- статус;
- дата первого события, относящегося к алерту;
- дата последнего обнаружения, относящегося к алерту;
- имя учетной записи или адрес электронной почты специалиста по безопасности, назначенного для обработки алерта;
- уровень важности алерта;
- категория инцидента R-Vision IRP, соответствующего алерту KUMA;
- иерархический список событий, связанных с алертом;
- список активов, как внутренних, так и внешних, связанных с алертом;
- список пользователей, связанных с алертом;
- журнал изменений алерта;
- ссылка на алерт в KUMA.
- Расследовать киберугрозы в KUMA
Первоначальная обработка алерта производится в KUMA. Специалист по безопасности может уточнять и менять любые параметры алерта, кроме идентификатора и названия. Внесенные изменения отражаются в карточке инцидента R-Vision IRP.
Если киберугроза признается ложной и алерт закрывается в KUMA, соответствующий ему инцидент R-Vision IRP также автоматически закрывается.
- Закрывать инциденты в R-Vision IRP
После необходимых работ по инциденту и фиксации хода расследования в R-Vision IRP инцидент закрывается. Соответствующий алерт KUMA также автоматически закрывается.
- Открывать ранее закрытые инциденты
Если в процессе мониторинга обнаруживается, что инцидент не был решен полностью или обнаруживаются дополнительные сведения, такой инцидент снова открывается в R-Vision IRP. При этом в KUMA алерт остается закрытым.
Специалист по безопасности с помощью ссылки может перейти из инцидента R-Vision IRP в соответствующий алерт в KUMA и изменить его параметры, кроме идентификатора, названия и статуса. Внесенные изменения отражаются в карточке инцидента R-Vision IRP.
Дальнейший анализ происходит в R-Vision IRP. Когда расследование завершено и инцидент в R-Vision IRP снова закрыт, статус соответствующего алерта в KUMA не меняется: алерт остается закрытым.
- Запрашивать дополнительные сведения из системы-источника в рамках сценария реагирования или вручную
Если в процессе анализа в R-Vision IRP возникает необходимость получить дополнительные сведения из KUMA, в R-Vision IRP можно сформировать требуемый поисковый запрос (например, запрос телеметрии, репутации, сведений о хосте) к KUMA. Запрос передается с помощью REST API KUMA, ответ фиксируется в карточке инцидента R-Vision IRP для дальнейшего анализа и вывода в отчет.
Действия выполняются в такой же последовательности на этапе автоматической обработки, если нет возможности сразу сохранить всю информацию по инциденту при импорте.