Интеграция с другими решениями

В этом разделе описано, как интегрировать KUMA с другими приложениями для расширения возможностей программы.

Интеграция с Kaspersky Security Center

Вы можете настроить интеграцию с выбранными серверами Kaspersky Security Center для одного, нескольких или всех тенантов KUMA. Если интеграция с Kaspersky Security Center включена, вы можете импортировать информацию об активах, защищаемых этой программой, управлять активами с помощью задач, а также импортировать события из базы событий Kaspersky Security Center.

Предварительно вам требуется убедиться, что на требуемом сервере Kaspersky Security Center разрешено входящее соединение для сервера с KUMA.

Настройка интеграции KUMA с Kaspersky Security Center включает следующие этапы:

1. Создание в Консоли администрирования Kaspersky Security Center учетной записи пользователя

   Данные этой учетной записи используются при создании секрета для установки соединения с Kaspersky Security Center. Учетной записи должны быть назначены права главного администратора.

   Подробнее о создании учетной записи и назначении прав пользователю см. в справке Kaspersky Security Center.

2. Создание секрета с типом credentials для соединения с Kaspersky Security Center
3. Настройка параметров интеграции с Kaspersky Security Center
4. Создание подключения к серверу Kaspersky Security Center для импорта информации об активах

   Если вы хотите импортировать в KUMA информацию об активах, зарегистрированных на серверах Kaspersky Security Center, вам требуется создать отдельное подключение к каждому серверу Kaspersky Security Center для каждого выбранного тенанта.

   Если для тенанта выключена интеграция или отсутствует подключение к Kaspersky Security Center, при попытке импорта информации об активах в веб-интерфейсе KUMA отобразится ошибка. Процесс импорта при этом не запускается.

Настройка параметров интеграции с Kaspersky Security Center

Чтобы настроить параметры интеграции с Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Для флажка Выключено выполните одно из следующих действий:
   • Снимите флажок, если вы хотите включить интеграцию с Kaspersky Security Center для этого тенанта.
   • Установите флажок, если хотите выключить интеграцию с Kaspersky Security Center для этого тенанта.

   По умолчанию флажок снят.

4. В поле Период обновления данных укажите период времени, по истечении которого KUMA обновляет данные об устройствах Kaspersky Security Center.

   Интервал указывается в часах. Вы можете указать только целое число.

   По умолчанию временной интервал составляет 12 часов.

5. Нажмите на кнопку Сохранить.

Параметры интеграции с Kaspersky Security Center для выбранного тенанта будут настроены.

Если в списке тенантов отсутствует нужный вам тенант, вам требуется добавить его в список.

Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center

Чтобы добавить тенант в список тенантов для интеграции с Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Нажмите на кнопку Добавить тенант.

   Откроется окно Интеграция с Kaspersky Security Center.

3. В раскрывающемся списке Тенант выберите тенант, который вам требуется добавить.
4. Нажмите на кнопку Сохранить.

Выбранный тенант будет добавлен в список тенантов для интеграции с Kaspersky Security Center.

Создание подключения к Kaspersky Security Center

Чтобы создать подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите создать подключение к Kaspersky Security Center.
3. Нажмите на кнопку Добавить подключение и укажите значения для следующих параметров:
   • Название (обязательно) – имя подключения. Имя может включать от 1 до 128 символов Юникода.
   • URL (обязательно) – URL сервера Kaspersky Security Center в формате hostname:port или IPv4:port.
   • В раскрывающемся списке Секрет выберите ресурс секрета с учетными данными Kaspersky Security Center или создайте новый ресурс секрета.
     1. Нажмите на кнопку .

        Откроется окно секрета.

     2. Введите данные секрета:
        1. В поле Название выберите имя для добавляемого секрета.
        2. В раскрывающемся списке Тенант выберите тенант, которому будут принадлежать учетные данные Kaspersky Security Center.
        3. В раскрывающемся списке Тип выберите credentials.
        4. В полях Пользователь и Пароль введите учетные данные вашего сервера Kaspersky Security Center.
        5. В поле Описание можно добавить описание секрета.
     3. Нажмите Сохранить.

     Выбранный секрет можно изменить, нажав на кнопку .

   • Выключено – состояние подключения к выбранному серверу Kaspersky Security Center. Если флажок установлен, подключение к выбранному серверу неактивно. В этом случае вы не можете использовать это подключение для соединения с сервером Kaspersky Security Center.

     По умолчанию флажок снят.

4. Если вы хотите, чтобы программа KUMA импортировала только активы, которые подключены к подчиненным серверам или включены в группы:
   1. Нажмите на кнопку Загрузить иерархию.
   2. Установите флажки рядом с именами подчиненных серверов и групп, из которых вы хотите импортировать информацию об активах.
   3. Если вы хотите импортировать активы только из новых групп, установите флажок Импортировать активы из новых групп.

   Если ни один флажок не установлен, при импорте выгружается информация обо всех активах выбранного сервера Kaspersky Security Center.

5. Нажмите на кнопку Сохранить.

Подключение к серверу Kaspersky Security Center будет создано. Его можно использовать для импорта информации об активах из Kaspersky Security Center в KUMA и для создания задач, связанных с активами, в Kaspersky Security Center из KUMA.

Изменение подключения к Kaspersky Security Center

Чтобы изменить подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Нажмите на подключение с Kaspersky Security Center, которое вы хотите изменить.

   Откроется окно с параметрами выбранного подключения к Kaspersky Security Center.

4. Измените значения необходимых параметров.
5. Нажмите на кнопку Сохранить.

Подключение к Kaspersky Security Center будет изменено.

Удаление подключения к Kaspersky Security Center

Чтобы удалить подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Выберите подключение Kaspersky Security Center, которое вы хотите удалить.
4. Нажмите на кнопку Удалить.

Подключение к Kaspersky Security Center будет удалено.

Работа с задачами Kaspersky Security Center

Вы можете подключить активы Kaspersky Security Center к KUMA и загружать на эти активы обновления баз и программных модулей или запускать на них антивирусную проверку с помощью задач Kaspersky Security Center. Задачи запускаются в веб-интерфейсе KUMA.

Для запуска задач Kaspersky Security Center на активах, подключенных к KUMA, рекомендуется использовать следующий сценарий:

1. Создание в Консоли администрирования Kaspersky Security Center учетной записи пользователя

   Данные этой учетной записи используются при создании секрета для установки соединения с Kaspersky Security Center и могут использоваться при создании задачи.

   Подробнее о создании учетной записи и назначении прав пользователю см. в справке Kaspersky Security Center.

2. Создание задач в Kaspersky Security Center
3. Настройка интеграции KUMA с Kaspersky Security Center
4. Импорт информации об активах Kaspersky Security Center в KUMA
5. Назначение категории импортированным активам

   После импорта активы автоматически помещаются в группу Устройства без категории. Вы можете назначить импортированным активам одну из существующих категорий или создать категорию и назначить ее активам.

6. Запуск задач на активах

   Вы можете запускать задачи вручную в информации об активе или настроить автоматический запуск задач.

Запуск задач Kaspersky Security Center вручную

Вы можете вручную запускать на активах Kaspersky Security Center, подключенных к KUMA, задачу обновления антивирусных баз и модулей программы и задачу антивирусной проверки. На активах должны быть установлены программы Kaspersky Endpoint Security для Windows или Linux.

Предварительно вам нужно настроить интеграцию Kaspersky Security Center с KUMA и создать задачи в Kaspersky Security Center.

Чтобы запустить задачу Kaspersky Security Center вручную:

1. В разделе Активы веб-интерфейса KUMA выберите актив, импортированный из Kaspersky Security Center.

   Откроется окно Информация об активе.

2. Нажмите на кнопку Реагирование KSC.

   Кнопка отображается, если подключение к Kaspersky Security Center, к которому принадлежит выбранный актив, включено.

3. В открывшемся окне Выберите задачу установите флажки рядом с задачами, которые вы хотите запустить, и нажмите на кнопку Запустить.

Kaspersky Security Center запускает выбранные задачи.

Некоторые типы задач доступны только для определенных активов.

Информация об уязвимостях и программном обеспечении доступна только для активов с операционной системой Windows.

Запуск задач Kaspersky Security Center автоматически

Корреляторы могут запускать задачи Kaspersky Security Center автоматически. При выполнении определенных условий коррелятор активирует правила реагирования, содержащие список задач Kaspersky Security Center для запуска и определения соответствующих активов.

Чтобы настроить ресурс реагирования, который может использоваться корреляторами для автоматического запуска задач Kaspersky Security Center:

1. Выберите раздел веб-интерфейса KUMA Ресурсы → Реагирование.
2. Нажмите кнопку Добавить реагирование и задайте параметры, как описано ниже:
   • В поле Имя введите имя ресурса для его идентификации.
   • В раскрывающемся списке Тип выберите ksctasks (задачи Kaspersky Security Center).
   • В раскрывающемся списке Задача Kaspersky Security Center выберите задачи, запускаемые при срабатывании коррелятора, связанного с этим ресурсом реагирования.

     Вы можете выбрать несколько задач. При активации реагирования из списка задач выбирается только первая задача, соответствующая выбранному активу. Остальные подходящие задачи игнорируются. Если требуется запустить несколько задач при выполнении одного условия, нужно создать несколько правил реагирования.

   • В поле Поле события выберите поля события, которые вызовут срабатывание корреляторов. Возможные значения:
     • SourceAssetID.
     • DestinationAssetID.
     • DeviceAssetID.
3. При необходимости в поле Рабочие процессы укажите количество процессов реагирования, которые можно запускать одновременно.
4. При необходимости в блоке параметров Фильтр задайте условия, при соответствии которым события будут обрабатываться создаваемым ресурсом. В раскрывающемся списке можно выбрать существующий ресурс фильтра или создать новый фильтр.

   Создание фильтра в ресурсах

   1. В раскрывающемся списке Фильтр выберите Создать.
   2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

   3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
   4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

         В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

         Операторы фильтров

         • = – левый операнд равен правому операнду.
         • < – левый операнд меньше правого операнда.
         • <= – левый операнд меньше или равен правому операнду.
         • > – левый операнд больше правого операнда.
         • >= – левый операнд больше или равен правому операнду.
         • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
         • contains – левый операнд содержит значения правого операнда.
         • startsWith – левый операнд начинается с одного из значений правого операнда.
         • endsWith – левый операнд заканчивается одним из значений правого операнда.
         • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
         • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
         • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
         • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
         • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
         • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
         • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
         • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

         Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

         По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
   5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
   6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

5. Нажмите Сохранить.

Ресурс реагирования создан. Теперь его можно связать с коррелятором, который будет вызывать его, запуская тем самым задачу Kaspersky Security Center.

Проверка статуса задач Kaspersky Security Center

В веб-интерфейсе KUMA можно проверить, была ли запущена задача Kaspersky Security Center или завершен ли поиск событий из коллектора, который прослушивает события Kaspersky Security Center.

Чтобы выполнить проверку статуса задач Kaspersky Security Center:

1. Выберите раздел KUMA Ресурсы → Активные сервисы.
2. Выберите коллектор, настроенный на получение событий с сервера Kaspersky Security Center, и нажмите на кнопку Перейти к событиям.

Откроется новая закладка браузера в разделе События KUMA. В таблице отобразятся события с сервера Kaspersky Security Center. Статус задач отображается в столбце Название.

Поля событий Kaspersky Security Center:

• Name (Название) – статус или тип задачи.
• Message (Сообщение) – сообщение о задаче или событии.
• FlexString<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, полученного от Kaspersky Security Center. Например, FlexString1Label=TaskName.
• FlexString<номер> (Настраиваемое поле <номер>) – значение атрибута, указанного в поле поля FlexString<номер>Label. Например, FlexString1=Download updates.
• DeviceCustomNumber<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, относящегося к состоянию задачи. Например, DeviceCustomNumber1Label=TaskOldState.
• DeviceCustomNumber<номер> (Настраиваемое поле <номер>) – значение, относящееся к состоянию задачи. Например, DeviceCustomNumber1=1 означает, что задача выполняется.
• DeviceCustomString<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, относящегося к обнаруженной уязвимости: например, название вируса, уязвимого приложения.
• DeviceCustomString<номер> (Настраиваемое поле <номер>) – значение, относящееся к обнаруженной уязвимости. Например, пары атрибут-значение DeviceCustomString1Label=VirusName и DeviceCustomString1=EICAR-Test-File означают, что обнаружен тестовый вирус EICAR.

Импорт событий из базы Kaspersky Security Center

В KUMA можно получать события непосредственно из SQL-базы Kaspersky Security Center. Получение событий производится с помощью коллектора, в котором используются доступные в поставке ресурсы коннектора [OOTB] KSC SQL и нормализатора [OOTB] KSC from SQL.

Чтобы создать коллектор для получения событий Kaspersky Security Center:

1. Запустите мастер установки коллектора одним из следующих способов:
   • В веб-интерфейсе KUMA в разделе Ресурсы нажмите Подключить источник.
   • В веб-интерфейсе KUMA в разделе Ресурсы → Коллекторы нажмите Добавить коллектор.
2. На шаге 2 мастера установки выберите коннектор [OOTB] KSC SQL:
   • В поле URL укажите адрес для подключения к серверу в следующем формате:

     sqlserver://user:password@kscdb.example.com:1433/KAV

     где:

     • user – учетная запись с правами public и db_datareader к нужной базе данных;
     • password – пароль учетной записи;
     • kscdb.example.com:1433 – адрес и порт сервера базы данных;
     • KAV – название базы данных.
   • В поле Запрос укажите запрос к базе данных, исходя из потребности получать определенные события.

     Пример запроса к SQL-базе Kaspersky Security Center

     SELECT ev.event_id AS externalId, ev.severity AS severity, ev.task_display_name AS taskDisplayName,

             ev.product_name AS product_name, ev.product_version AS product_version,

              ev.event_type As deviceEventClassId, ev.event_type_display_name As event_subcode, ev.descr As msg,

     CASE

             WHEN ev.rise_time is not NULL THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.rise_time )

                 ELSE ev.rise_time

             END

         AS endTime,

         CASE

             WHEN ev.registration_time is not NULL

                 THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.registration_time )

                 ELSE ev.registration_time

             END

         AS kscRegistrationTime,

         cast(ev.par7 as varchar(4000)) as sourceUserName,

         hs.wstrWinName as dHost,

         hs.wstrWinDomain as strNtDom, serv.wstrWinName As kscName,

             CAST(hs.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(hs.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(hs.nIp / 256 % 256 AS VARCHAR) + '.' +

         CAST(hs.nIp % 256 AS VARCHAR) AS sourceAddress,

         serv.wstrWinDomain as kscNtDomain,

             CAST(serv.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(serv.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(serv.nIp / 256 % 256 AS VARCHAR) + '.' +

         CAST(serv.nIp % 256 AS VARCHAR) AS kscIP,

         CASE

         WHEN virus.tmVirusFoundTime is not NULL

                 THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),virus.tmVirusFoundTime )

                 ELSE ev.registration_time

             END

         AS virusTime,

         virus.wstrObject As filePath,

         virus.wstrVirusName as virusName,

         virus.result_ev as result

     FROM KAV.dbo.ev_event as ev

     LEFT JOIN KAV.dbo.v_akpub_host as hs ON ev.nHostId = hs.nId

     INNER JOIN KAV.dbo.v_akpub_host As serv ON serv.nId = 1

     Left Join KAV.dbo.rpt_viract_index as Virus on ev.event_id = virus.nEventVirus

     where registration_time >= DATEADD(minute, -191, GetDate())

3. На шаге 3 мастера установки выберите нормализатор [OOTB] KSC from SQL.
4. Остальные параметры укажите в соответствии вашими требованиями к коллектору.

В результате выполнения шагов мастера в веб-интерфейсе KUMA создается сервис коллектора, с помощью которого вы можете импортировать события из SQL-базы Kaspersky Security Center.

Интеграция с Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Detection and Response (далее также KEDR) – функциональный блок программы Kaspersky Anti Targeted Attack Platform, обеспечивающий защиту активов локальной сети организации.

Вы можете настроить интеграцию KUMA с Kaspersky Endpoint Detection and Response версий 4.0 и 4.1, чтобы управлять действиями по реагированию на угрозы на активах, подключенных к серверам Kaspersky Endpoint Detection and Response, и активах Kaspersky Security Center. Команды на выполнение операций поступают на сервер Kaspersky Endpoint Detection and Response, после чего она передает их программе Kaspersky Endpoint Agent, установленной на активах.

Также вы можете импортировать события в KUMA и получать информацию об обнаружениях Kaspersky Endpoint Detection and Response (подробнее о получении информации об обнаружениях см. в разделе Настройка интеграции с SIEM-системой в справке Kaspersky Anti Targeted Attack Platform).

При интеграции KUMA с Kaspersky Endpoint Detection and Response вы можете выполнять следующие операции на активах Kaspersky Endpoint Detection and Response с Kaspersky Endpoint Agent:

• Управлять сетевой изоляцией активов.
• Управлять правилами запрета.
• Запускать программы.

Управление действиями по реагированию доступно только при наличии лицензии Kaspersky Symphony XDR.

За инструкцией по настройке интеграции для управления действиями по реагированию вам требуется обратиться к вашему аккаунт-менеджеру или в службу технической поддержки.

Импорт событий Kaspersky Endpoint Detection and Response

При импорте событий из Kaspersky Endpoint Detection and Response телеметрия передается открытым текстом и может быть перехвачена злоумышленником.

Вы можете импортировать в KUMA сырые события Kaspersky Endpoint Detection and Response 4.0 с помощью коннектора Kafka.

Для импорта событий вам потребуется выполнить действия на стороне Kaspersky Endpoint Detection and Response и KUMA.

На стороне Kaspersky Endpoint Detection and Response выполните следующие действия:

1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.

   Отобразится меню администратора компонента программы.

3. В меню администратора компонента программы выберите режим Technical Support Mode.
4. Нажмите на клавишу Enter.

   Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. Выполните команду sudo -i.
7. В конфигурационном файле /etc/sysconfig/apt-services в поле KAFKA_PORTS удалите значение 10000.

   Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000.

   Настоятельно не рекомендуется использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP.

8. Выполните команду systemctl restart apt_ipsec.service.
9. В конфигурационном файле /usr/bin/apt-start-sedr-iptables в поле WEB_PORTS добавьте значение 10000 через запятую без пробела.
10. Выполните команду sudo sh /usr/bin/apt-start-sedr-iptables.

Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.

На стороне KUMA выполните следующие действия:

1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> centralnode в один из следующих файлов:
   • %WINDIR%\System32\drivers\etc\hosts – для Windows.
   • /etc/hosts file – для Linux.
2. В веб-интерфейсе KUMA создайте коннектор типа kafka.

   При создании коннектора в поле URL укажите <IP-адрес сервера Central Node>:10000.

3. В веб-интерфейсе KUMA создайте коллектор.

   В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге.

При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.

Интеграция с Kaspersky CyberTrace

Kaspersky CyberTrace (далее CyberTrace) – это инструмент, который объединяет потоки данных об угрозах с решениями SIEM. Он обеспечивает пользователям мгновенный доступ к данным аналитики, повышая их осведомленность при принятии решений, связанных с безопасностью.

Вы можете интегрировать CyberTrace с KUMA одним из следующих способов:

• Интегрировать функцию поиска индикаторов CyberTrace для обогащения событий KUMA информацией потоков данных CyberTrace.
• Интегрировать в KUMA веб-интерфейс CyberTrace целиком, чтобы обеспечить полный доступ к CyberTrace.

  Интеграция с веб-интерфейсом CyberTrace доступна только в том случае, если ваша лицензия CyberTrace включает многопользовательскую функцию.

Интеграция поиска по индикаторам CyberTrace

Интеграция функции поиска по индикаторам CyberTrace состоит из следующих этапов:

1. Настройка CyberTrace для приема и обработки запросов от KUMA

   Вы можете настроить интеграцию с KUMA сразу после установки CyberTrace в мастере первоначальной настройки или позднее в веб-интерфейсе CyberTrace.

2. Создание правила обогащения событий в KUMA

После завершения всех этапов интеграции требуется перезапустить коллектор, отвечающий за получение событий, которые вы хотите обогатить информацией из CyberTrace.

Настройка CyberTrace для приема и обработки запросов

Вы можете настроить CyberTrace для приема и обработки запросов от KUMA сразу после установки в мастере первоначальной настройки или позднее в веб-интерфейсе программы.

Чтобы настроить CyberTrace для приема и обработки запросов в мастере первоначальной настройки:

1. Дождитесь запуска мастера первоначальной настройки CyberTrace после установки программы.

   Откроется окно Welcome to Kaspersky CyberTrace.

2. В раскрывающемся списке <select SIEM> выберите тип SIEM-системы, от которой вы хотите получать данные, и нажмите на кнопку Next.

   Откроется окно Connection Settings.

3. Выполните следующие действия:
   1. В блоке параметров Service listens on выберите вариант IP and port.
   2. В поле IP address введите 0.0.0.0.
   3. В поле Port введите 9999.
   4. В нижнем поле IP address or hostname укажите 127.0.0.1.

      Остальные значения оставьте по умолчанию.

   5. Нажмите на кнопку Next.

   Откроется окно Proxy Settings.

4. Если в вашей организации используется прокси-сервер, укажите параметры соединения с ним. Если нет, оставьте все поля незаполненными и нажмите на кнопку Next.

   Откроется окно Licensing Settings.

5. В поле Kaspersky CyberTrace license key добавьте лицензионный ключ для программы CyberTrace.
6. В поле Kaspersky Threat Data Feeds certificate добавьте сертификат, позволяющий скачивать с серверов обновлений списки данных (data feeds), и нажмите на кнопку Next.

CyberTrace будет настроен.

Чтобы настроить CyberTrace для приема и обработки запросов в веб-интерфейсе программы:

1. В окне веб-интерфейса программы CyberTrace выберите раздел Settings – Service.
2. В блоке параметров Connection Settings выполните следующие действия:
   1. Выберите вариант IP and port.
   2. В поле IP address введите 0.0.0.0.
   3. В поле Port введите 9999.
3. В блоке параметров Web interface в поле IP address or hostname введите 127.0.0.1.
4. В верхней панели инструментов нажмите на кнопку Restart Feed Service.
5. Выберите раздел Settings – Events format.
6. В поле Alert events format введите %Date% alert=%Alert%%RecordContext%.
7. В поле Detection events format введите Category=%Category%|MatchedIndicator=%MatchedIndicator%%RecordContext%.
8. В поле Records context format введите |%ParamName%=%ParamValue%.
9. В поле Actionable fields context format введите %ParamName%:%ParamValue%.

CyberTrace будет настроен.

После обновления конфигурации CyberTrace требуется перезапустить сервер CyberTrace.

Создание правил обогащения событий

Чтобы создать правила обогащения событий:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Правила обогащения и в левой части окна выберите или создайте папку, в которую требуется поместить новый ресурс.

   Отобразится список доступных правил обогащения.

2. Нажмите кнопку Добавить правило обогащения, чтобы создать новый ресурс.

   Откроется окно правила обогащения.

3. Укажите параметры правила обогащения:
   1. В поле Название введите уникальное имя ресурса. Название должно содержать от 1 до 128 символов Юникода.
   2. В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
   3. В раскрывающемся списке Тип источника выберите cybertrace.
   4. Укажите URL сервера CyberTrace, к которому вы хотите подключиться. Например, example.domain.com:9999.
   5. При необходимости укажите в поле Количество подключений максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
   6. В поле Запросов в секунду введите количество запросов к серверу CyberTrace, которое сможет выполнять KUMA в секунду. Значение по умолчанию: 1000.
   7. В поле Время ожидания укажите время в секундах, в течение которого KUMA должна ожидать ответа от сервера CyberTrace. Событие не будет отправлено в коррелятор, пока не истечет время ожидания или не будет получен ответ. Если ответ получен до истечения времени ожидания, он добавляется в поле события TI, и обработка события продолжается. Значение по умолчанию: 30.
   8. В блоке параметров Сопоставление требуется указать поля событий, которые следует отправить в CyberTrace на проверку, а также задать правила сопоставления полей событий KUMA с типами индикаторов CyberTrace:
      • В столбце Поле KUMA выберите поле, значение которого требуется отправить в CyberTrace.
      • В столбце Индикатор CyberTrace выберите тип индикатора CyberTrace для каждого выбранного поля:
        • ip
        • url
        • hash

      В таблице требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки – удалить.

   9. С помощью раскрывающегося списка Отладка укажите, следует ли включить логирование операций сервиса. По умолчанию логирование выключено.
   10. При необходимости в поле Описание добавьте до 256 символов Юникода, описывающих ресурс.
   11. В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом правила обогащения. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.

       Создание фильтра в ресурсах

       1. В раскрывающемся списке Фильтр выберите Создать.
       2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

          В этом случае вы сможете использовать созданный фильтр в разных сервисах.

          По умолчанию флажок снят.

       3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
       4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
          1. Нажмите на кнопку Добавить условие.
          2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

             В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

          3. В раскрывающемся списке оператор выберите нужный вам оператор.

             Операторы фильтров

             • = – левый операнд равен правому операнду.
             • < – левый операнд меньше правого операнда.
             • <= – левый операнд меньше или равен правому операнду.
             • > – левый операнд больше правого операнда.
             • >= – левый операнд больше или равен правому операнду.
             • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
             • contains – левый операнд содержит значения правого операнда.
             • startsWith – левый операнд начинается с одного из значений правого операнда.
             • endsWith – левый операнд заканчивается одним из значений правого операнда.
             • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
             • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
             • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
             • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
             • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
             • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
             • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
             • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
          4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

             Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

             По умолчанию флажок снят.

          5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
          6. Вы можете добавить несколько условий или группу условий.
       5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
       6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

          Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

4. Нажмите Сохранить.

Создано правило обогащения.

Интеграция поиска по индикаторам CyberTrace настроена. Созданное правило обогащения можно добавить к коллектору. Требуется перезапустить коллекторы KUMA, чтобы применить новые параметры.

Если какие-либо из полей CyberTrace в области деталей события содержат "[{" или "}]", это означает, что информация из потока данных об угрозах из CyberTrace была обработана некорректно и некоторые данные, возможно, не отображаются. Информацию из потока данных об угрозах можно получить, скопировав из события KUMA значение поля TI indicator событий и выполнив поиск по этому значению на портале CyberTrace в разделе индикаторов. Вся информация будет отображаться в разделе CyberTrace Indicator context.

Интеграция интерфейса CyberTrace

Вы можете интегрировать веб-интерфейс CyberTrace в веб-интерфейс KUMA. Когда эта интеграция включена, в веб-интерфейсе KUMA появляется раздел CyberTrace, в котором предоставляется доступ к веб-интерфейсу CyberTrace. Интеграция настраивается в разделе Параметры → Kaspersky CyberTrace веб-интерфейса KUMA.

Чтобы интегрировать веб-интерфейс CyberTrace в KUMA:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс используется для хранения учетных данных для подключения к серверу CyberTrace.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название выберите имя для добавляемого секрета. Название должно содержать от 1 до 128 символов Юникода.
   2. В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
   3. В раскрывающемся списке Тип выберите credentials.
   4. В полях Пользователь и Пароль введите учетные данные для вашего сервера CyberTrace.
   5. При необходимости в поле Описание добавьте до 256 символов Юникода, описывающих ресурс.
4. Нажмите Сохранить.

   Учетные данные сервера CyberTrace сохранены и могут использоваться в других ресурсах KUMA.

5. Откройте раздел веб-интерфейс KUMA Параметры → Kaspersky CyberTrace.

   Откроется окно с параметрами интеграции CyberTrace.

6. Измените необходимые параметры:
   • Выключено – снимите этот флажок, если хотите включить интеграцию веб-интерфейса CyberTrace в веб-интерфейс KUMA.
   • Адрес сервера (обязательно) – введите адрес сервера CyberTrace в формате hostname:port.
   • Порт (обязательно) – введите порт сервера CyberTrace.
7. В раскрывающемся списке Секрет выберите ресурс секрета, который вы создали ранее.
8. Нажмите Сохранить.

CyberTrace теперь интегрирован с KUMA: раздел CyberTrace отображается в веб-интерфейсе KUMA.

Если для работы в веб-интерфейсе программы вы используете браузер Mozilla Firefox, данные в разделе CyberTrace могут не отображаться. В таком случае очистите кеш браузера и настройте отображение данных (см. ниже).

Чтобы настроить отображение данных в разделе CyberTrace:

1. В строке браузера введите FQDN веб-интерфейса KUMA с номером порта 7222: https://kuma.example.com:7222. Не рекомендуется в качестве адреса сервера указывать IP-адрес.

   Отобразится окно с предупреждением о вероятной угрозе безопасности.

2. Нажмите на кнопку Подробнее.
3. В нижней части окна нажмите на кнопку Принять риск и продолжить.

   Для URL-адреса веб-интерфейса KUMA будет создано исключение.

4. В строке браузера введите URL-адрес веб-интерфейса KUMA с номером порта 7220.
5. Перейдите в раздел CyberTrace.

Данные отобразятся в разделе.

Обновление списка запрещенных объектов CyberTrace (Internal TI)

Если веб-интерфейс CyberTrace интегрирован в веб-интерфейс KUMA, можно обновлять список запрещенных объектов CyberTrace или Internal TI данными из событий KUMA.

Чтобы обновить Internal TI в CyberTrace:

1. Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла.

   Откроется контекстное меню.

2. Выберите Добавить в Internal TI CyberTrace.

Выбранный объект добавлен в список запрещенных объектов в CyberTrace.

Интеграция с Kaspersky Threat Intelligence Portal

Портал Kaspersky Threat Intelligence Portal объединяет все знания Лаборатории Касперского о киберугрозах и их взаимосвязи в единую мощную веб-службу. При интеграции с KUMA он помогает пользователям KUMA быстрее принимать обоснованные решения, предоставляя им данные о веб-адресах, доменах, IP-адресах, данных WHOIS / DNS.

Доступ к Kaspersky Threat Intelligence Portal предоставляется на платной основе. Лицензионные сертификаты создаются специалистами Лаборатории Касперского. Чтобы получить сертификат для Kaspersky Threat Intelligence Portal, вашему персональному техническому менеджеру Лаборатории Касперского.

Инициализация интеграции

Чтобы интегрировать Kaspersky Threat Intelligence Portal в KUMA:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс используется для хранения данных вашей учетной записи Kaspersky Threat Intelligence Portal.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название выберите имя для добавляемого секрета.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
   3. В раскрывающемся списке Тип выберите ktl.
   4. В полях Пользователь и Пароль введите данные своей учетной записи Kaspersky Threat Intelligence Portal.
   5. В поле Описание можно добавить описание секрета.
4. Загрузите ключ сертификата Kaspersky Threat Intelligence Portal:
   1. Нажмите Загрузить PFX и выберите PFX-файл с сертификатом.

      Имя выбранного файла отображается справа от кнопки Загрузить PFX.

   2. В поле Пароль PFX введите пароль для PFX-файла.
5. Нажмите Сохранить.

   Ваши учетные данные Kaspersky Threat Intelligence Portal сохранены и могут использоваться в других ресурсах KUMA.

6. В разделе Параметры веб-интерфейса KUMA откройте закладку Kaspersky Threat Lookup.

   Отобразится список доступных подключений.

7. Убедитесь, что флажок Выключено снят.
8. В раскрывающемся списке Секрет выберите ресурс секрета, который вы создали ранее.

   Можно создать новый секрет, нажав на кнопку со значком плюса. Созданный секрет будет сохранен в разделе Ресурсы → Секреты.

9. При необходимости в раскрывающемся списке Прокси-сервер выберите ресурс прокси-сервера.
10. Нажмите Сохранить.

Процесс интеграции Kaspersky Threat Intelligence Portal с KUMA завершен.

После интеграции Kaspersky Threat Intelligence Portal и KUMA в области деталей события можно запрашивать сведения о хостах, доменах, URL-адресах, IP-адресах и хешах файлов (MD5, SHA1, SHA256).

Запрос данных от Kaspersky Threat Intelligence Portal

Чтобы запросить данные от Kaspersky Threat Intelligence Portal:

1. Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла.

   В правой части экрана откроется область Обогащение Threat Lookup.

2. Установите флажки рядом с типами данных, которые нужно запросить.

   Если ни один из флажков не установлен, запрашиваются все данные.

3. В поле Максимальное количество записей в каждой группе данных введите количество записей для выбранного типа данных, которое вы хотите получить. Значение по умолчанию: 10.
4. Нажмите Запрос.

Задача ktl создана. По ее завершении события дополняются данными из Kaspersky Threat Intelligence Portal, которые можно просмотреть в таблице событий, окне алерта или окне корреляционного события.

Просмотр данных от Kaspersky Threat Intelligence Portal

Чтобы просмотреть данные из Kaspersky Threat Intelligence Portal,

Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла, для которого вы ранее запрашивали данные от Kaspersky Threat Intelligence Portal.

В правой части экрана откроется область деталей с данными из Kaspersky Threat Intelligence Portal с указанием времени последнего обновления этих данных.

Информация, полученная от Kaspersky Threat Intelligence Portal, кешируется. Если нажать на домен, веб-адрес, IP-адрес или хеш файла в области деталей события, для которого у KUMA уже есть доступная информация, вместо окна Обогащение Threat Lookup отобразятся данные из Kaspersky Threat Intelligence Portal с указанием времени их получения. Эти данные можно обновить.

Обновление данных от Kaspersky Threat Intelligence Portal

Чтобы обновить данные, полученные от Kaspersky Threat Intelligence Portal:

1. Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла, для которого вы ранее запрашивали данные от Kaspersky Threat Intelligence Portal.
2. Нажмите Обновить в области деталей события с данными, полученными с портала Kaspersky Threat Intelligence Portal.

   В правой части экрана откроется область Обогащение Threat Lookup.

3. Установите флажки рядом с типами данных, которые вы хотите запросить.

   Если ни один из флажков не установлен, запрашиваются все данные.

4. В поле Максимальное количество записей в каждой группе данных введите количество записей для выбранного типа данных, которое вы хотите получить. Значение по умолчанию: 10.
5. Нажмите Обновить.

   Создается задача KTL и запрашиваются новые данные, полученные из Kaspersky Threat Intelligence Portal.

6. Закройте окно Обогащение Threat Lookup и область подробной информации о KTL.
7. Откройте область подробной информации о событии из таблицы событий, окна алертов или окна корреляционных событий и перейдите по ссылке, соответствующей домену, веб-адресу, IP-адресу или хешу файла, для которого вы обновили информацию на Kaspersky Threat Intelligence Portal, и выберите Показать информацию из Threat Lookup.

В правой части экрана откроется область деталей с данными из Kaspersky Threat Intelligence Portal с указанием времени.

Интеграция с R-Vision Incident Response Platform

R-Vision Incident Response Platform (далее R-Vision IRP) – это программная платформа для автоматизации мониторинга, обработки и реагирования на инциденты информационной безопасности. Она объединяет данные о киберугрозах из различных источников в единую базу данных для дальнейшего анализа и расследования, что позволяет облегчить реагирование на инциденты.

R-Vision IRP можно интегрировать с KUMA. Когда интеграция включена, создание алерта в KUMA приводит к созданию инцидента в R-Vision IRP. Алерт KUMA и инцидент R-Vision IRP взаимосвязаны: при обновлении статуса инцидента в R-Vision IRP статус соответствующего алерта KUMA также меняется.

Интеграция R-Vision IRP и KUMA настраивается в обоих приложениях. На стороне KUMA настройка интеграции доступна только для главных администраторов.

Сопоставление полей алерта KUMA и инцидента R-Vision IRP при передаче данных по API

Настройка интеграции в KUMA

В этом разделе описывается интеграция KUMA с R-Vision IRP на стороне KUMA.

Интеграция в KUMA настраивается в разделе веб-интерфейса KUMA Параметры → IRP / SOAR.

Чтобы настроить интеграцию с R-Vision IRP:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс будет использоваться для хранения токена для API-запросов в R-Vision IRP.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название укажите имя для добавляемого секрета. Длина названия должна быть от 1 до 128 символов Юникода.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
   3. В раскрывающемся списке Тип выберите token.
   4. В поле Токен введите свой API-токен для R-Vision IRP.

      Токен можно узнать в веб-интерфейсе R-Vision IRP в разделе Настройки → Общие → API.

   5. При необходимости в поле Описание добавьте описание секрета. Длина описания должна быть от 1 до 256 символов Юникода.
4. Нажмите Сохранить.

   API-токен для R-Vision IRP сохранен и теперь может использоваться в других ресурсах KUMA.

5. Откройте раздел веб-интерфейса KUMA Параметры → IRP / SOAR.

   Откроется окно с параметрами интеграции R-Vision IRP.

6. Измените необходимые параметры:
   • Выключено – установите этот флажок, если хотите выключить интеграцию R-Vision IRP с KUMA.
   • В раскрывающемся списке Секрет выберите ресурс секрета, созданный ранее.

     Можно создать новый секрет, нажав на кнопку со значком плюса. Созданный секрет будет сохранен в разделе Ресурсы → Секреты.

   • URL (обязательно) – URL хоста сервера R-Vision IRP.
   • Название поля для размещения идентификаторов алертов KUMA (обязательно) – имя поля R-Vision IRP, в которое будет записываться идентификатор алерта KUMA.
   • Название поля для размещения URL алертов KUMA (обязательно) – имя поля R-Vision IRP, в которое будет помещаться ссылка на алерт KUMA.
   • Категория (обязательно) – категория алерта R-Vision IRP, который создается при получении данных об алерте от KUMA.
   • Поля событий​ KUMA для отправки в IRP / SOAR (обязательно) – раскрывающийся список для выбора полей событий KUMA, которые следует отправлять в R-Vision IRP.
   • Группа настроек Уровень важности (обязательно) – используется для сопоставления значений уровня важности KUMA со значениями уровня важности R-Vision IRP.
7. Нажмите Сохранить.

В KUMA теперь настроена интеграция с R-Vision IRP. Если интеграция также настроена в R-Vision IRP, при появлении алертов в KUMA информация о них будет отправляться в R-Vision IRP для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision IRP.

Если вы работаете с несколькими тенантами и хотите интегрироваться с R-Vision IRP, названия тенантов должны соответствовать коротким названиям компаний в R-Vision IRP.

Настройка интеграции в R-Vision IRP

В этом разделе описывается интеграция KUMA с R-Vision IRP на стороне R-Vision IRP.

Интеграция в R-Vision IRP настраивается в разделе Настройки веб-интерфейса R-Vision IRP. Подробнее о настройке R-Vision IRP см. в документации этой программы.

Настройка интеграции с KUMA состоит из следующих этапов:

• Настройка роли пользователя R-Vision IRP
  1. Присвойте используемому для интеграции пользователю R-Vision IRP системную роль Менеджер по управлению инцидентами. Роль можно присвоить в веб-интерфейсе R-Vision IRP в разделе Настройки → Общие → Пользователи системы, выбрав нужного пользователя. Роль добавляется в блоке параметров Системные роли.

     Пользователь R-Vision IRP версии 4.0 с ролью Менеджер по управлению инцидентами

     

     Пользователь R-Vision IRP версии 5.0 с ролью Менеджер по управлению инцидентами

     

  2. Убедитесь, что API-токен используемого для интеграции пользователя R-Vision IRP указан в секрете в веб-интерфейсе KUMA. Токен отображается в веб-интерфейсе R-Vision IRP в разделе Настройки → Общие → API.

     API-токен в R-Vision IRP версии 4.0

     

     API-токен в R-Vision IRP версии 5.0

     

• Настройка полей инцидентов R-Vision IRP и алертов KUMA
  1. Добавьте поля инцидента ALERT_ID и ALERT_URL.
  2. Настройте категорию инцидентов R-Vision IRP, создаваемых по алертам KUMA. Это можно сделать в веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Категории инцидентов. Добавьте новую или измените существующую категорию инцидентов, указав в блоке параметров Поля категорий созданные ранее поля инцидентов Alert ID и Alert URL. Поле Alert ID можно сделать скрытым.

     Категории инцидентов с данными из алертов KUMA в R-Vision IRP версии 4.0

     

     Категории инцидентов с данными из алертов KUMA в R-Vision IRP версии 5.0

     

  3. Запретите редактирование ранее созданных полей инцидентов Alert ID и Alert URL. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Представления выберите категорию инцидентов R-Vision IRP, которые будут создаваться по алертам KUMA, и установите рядом с полями Alert ID и Alert URL значок замка.

     Поле Alert URL недоступно для редактирования в R-Vision IRP версии 4.0

     

     Поле Alert URL недоступно для редактирования в R-Vision IRP версии 5.0

     

• Создание коллектора и коннектора в R-Vision IRP
  1. Создайте коллектор R-Vision IRP для взаимодействия с KUMA.
  2. Создайте и настройте коннектор R-Vision IRP для отправки в KUMA API-запросов на закрытие алертов.
• Создание правила на закрытие алерта в KUMA

  Создайте правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision IRP.

В R-Vision IRP теперь настроена интеграция с KUMA. Если интеграция также настроена в KUMA, при появлении алертов в KUMA информация о них будет отправляться в R-Vision IRP для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision IRP.

Добавление полей инцидента ALERT_ID и ALERT_URL

Чтобы добавить в R-Vision IRP поле инцидента ALERT_ID:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Поля инцидентов выберите группу полей Без группы.
2. Нажмите на значок плюса в правой части экрана.

   В правой части экрана отобразится область параметров создаваемого поля инцидента.

3. В поле Наименование введите название поля, например Alert ID.
4. В раскрывающемся списке Тип выберите Текстовое поле.
5. В поле Тег для распознавания введите ALERT_ID.

Поле ALERT_ID добавлено в инцидент R-Vision IRP.

Поле ALERT_ID в R-Vision IRP версии 4.0

Поле ALERT_ID в R-Vision IRP версии 5.0

Чтобы добавить в R-Vision IRP поле инцидента ALERT_URL:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Поля инцидентов выберите группу полей Без группы.
2. Нажмите на значок плюса в правой части экрана.

   В правой части экрана отобразится область параметров создаваемого поля инцидента.

3. В поле Наименование введите название поля, например Alert URL.
4. В раскрывающемся списке Тип выберите Текстовое поле.
5. В поле Тег для распознавания введите ALERT_URL.
6. Установите флажки Отображение ссылок и Отображать URL как ссылки.

Поле ALERT_URL добавлено в инцидент R-Vision IRP.

Поле ALERT_URL в R-Vision IRP версии 4.0

Поле ALERT_URL в R-Vision IRP версии 5.0

При необходимости аналогичным образом можно настроить отображение других данных из алерта KUMA в инциденте R-Vision IRP.

Создание коллектора в R-Vision IRP

Чтобы создать коллектор в R-Vision IRP:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Общие → Коллекторы нажмите на значок плюса.
2. В поле Название укажите название коллектора (например, Main collector).
3. В поле Адрес коллектора введите IP-адрес или название хоста, где установлена R-Vision IRP (например, 127.0.0.1).
4. В поле Порт введите значение 3001.
5. Нажмите Добавить.
6. На закладке Организации выберите организацию, для которой вы хотите добавить интеграцию с KUMA и установите флажки Коллектор по умолчанию и Коллектор реагирования.

Коллектор R-Vision IRP создан.

Создание коннектора в R-Vision IRP

Чтобы создать коннектор в R-Vision IRP:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Коннекторы нажмите на значок плюса.
2. В раскрывающемся списке Тип выберите REST.
3. В поле Название укажите название коннектора, например, KUMA.
4. В поле URL введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

   Пример: https://kuma-example.com:7223/api/v1/alerts/close

5. В раскрывающемся списке Тип авторизации выберите Токен.
6. В поле Auth header введите значение Authorization.
7. В поле Auth value введите токен главного администратора KUMA в следующем формате:

   Bearer <токен главного администратора KUMA>

8. В раскрывающемся списке Коллектор выберите ранее созданный коллектор.
9. Нажмите Сохранить.

Коннектор создан.

Коннектор в R-Vision IRP версии 4.0

Коннектор в R-Vision IRP версии 5.0

После того как коннектор создан, требуется настроить отправку API-запросов на закрытие алертов в KUMA.

Чтобы настроить отправку API-запросов в R-Vision IRP:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Коннекторы откройте созданный коннектор для редактирования.
2. В раскрывающемся списке типа запросов выберите POST.
3. В поле Params введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

   Пример, https://kuma-example.com:7223/api/v1/alerts/close

4. На закладке HEADERS добавьте следующие ключи и их значения:
   • Ключ Content-Type; значение: application/json.
   • Ключ Authorization; значение: Bearer <токен главного администратора KUMA>.

     Токен главного администратора KUMA можно получить в веб-интерфейсе KUMA в разделе Параметры → Пользователи.

5. На закладке BODY → Raw введите содержание тела API-запроса:

   {

       "id":"{{tag.ALERT_ID}}",

       "reason":"<причина закрытия алерта. Доступные значения: "Incorrect Correlation Rule", "Incorrect Data", "Responded".>"

   }

6. Нажмите Сохранить.

Коннектор настроен.

Коннектор в R-Vision IRP версии 4.0

Коннектор в R-Vision IRP версии 5.0

Создание правила на закрытие алерта в KUMA при закрытии инцидента в R-Vision IRP

Чтобы создать правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision IRP:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Сценарии реагирования нажмите на значок плюса.
2. В поле Название введите название создаваемого правила, например Close alert.
3. В раскрывающемся списке Группа выберите Все сценарии.
4. В блоке параметров Критерии автоматического запуска нажмите Добавить и в открывшемся окне введите условия срабатывания правила:
   1. В раскрывающемся списке Тип выберите Значение поля.
   2. В раскрывающемся списке Поле выберите Статус инцидента.
   3. Установите флажок напротив статуса Закрыт.
   4. Нажмите Добавить.

   Условия срабатывания правила добавлены. Правило будет срабатывать при закрытии инцидента.

5. В блоке параметров Действия по инциденту нажмите Добавить → Запуск коннектора и в открывшемся окне выберите коннектор, который следует выполнить при срабатывании правила:
   1. В раскрывающемся списке Коннектор выберите ранее созданный коннектор.
   2. Нажмите Добавить.

   Коннектор добавлен в правило.

6. Нажмите Добавить.

Правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision IRP создано.

Правило сценария R-Vision IRP версии 4.0

Правило сценария R-Vision IRP версии 5.0

Работа с алертами с помощью R-Vision IRP

После того как интеграция KUMA и R-Vision IRP настроена, данные об алертах KUMA поступают в R-Vision IRP. Изменение параметров алертов в KUMA отражается в R-Vision IRP. Изменение статусов алертов в KUMA или R-Vision IRP, кроме закрытия, также отражается в другой системе.

Если настроена интеграция KUMA и R-Vision IRP, вы можете выполнять следующее:

• Передавать сведения о киберугрозах из KUMA в R-Vision IRP

  Из KUMA в R-Vision IRP автоматически передаются сведения об обнаруженных алертах. При этом в R-Vision IRP создается инцидент.

  В R-Vision IRP передаются следующие сведения об алерте KUMA:

  • идентификатор;
  • название;
  • статус;
  • дата первого события, относящегося к алерту;
  • дата последнего обнаружения, относящегося к алерту;
  • имя учетной записи или адрес электронной почты специалиста по безопасности, назначенного для обработки алерта;
  • уровень важности алерта;
  • категория инцидента R-Vision IRP, соответствующего алерту KUMA;
  • иерархический список событий, связанных с алертом;
  • список активов, как внутренних, так и внешних, связанных с алертом;
  • список пользователей, связанных с алертом;
  • журнал изменений алерта;
  • ссылка на алерт в KUMA.
• Расследовать киберугрозы в KUMA

  Первоначальная обработка алерта производится в KUMA. Специалист по безопасности может уточнять и менять любые параметры алерта, кроме идентификатора и названия. Внесенные изменения отражаются в карточке инцидента R-Vision IRP.

  Если киберугроза признается ложной и алерт закрывается в KUMA, соответствующий ему инцидент R-Vision IRP также автоматически закрывается.

• Закрывать инциденты в R-Vision IRP

  После необходимых работ по инциденту и фиксации хода расследования в R-Vision IRP инцидент закрывается. Соответствующий алерт KUMA также автоматически закрывается.

• Открывать ранее закрытые инциденты

  Если в процессе мониторинга обнаруживается, что инцидент не был решен полностью или обнаруживаются дополнительные сведения, такой инцидент снова открывается в R-Vision IRP. При этом в KUMA алерт остается закрытым.

  Специалист по безопасности с помощью ссылки может перейти из инцидента R-Vision IRP в соответствующий алерт в KUMA и изменить его параметры, кроме идентификатора, названия и статуса. Внесенные изменения отражаются в карточке инцидента R-Vision IRP.

  Дальнейший анализ происходит в R-Vision IRP. Когда расследование завершено и инцидент в R-Vision IRP снова закрыт, статус соответствующего алерта в KUMA не меняется: алерт остается закрытым.

• Запрашивать дополнительные сведения из системы-источника в рамках сценария реагирования или вручную

  Если в процессе анализа в R-Vision IRP возникает необходимость получить дополнительные сведения из KUMA, в R-Vision IRP можно сформировать требуемый поисковый запрос (например, запрос телеметрии, репутации, сведений о хосте) к KUMA. Запрос передается с помощью REST API KUMA, ответ фиксируется в карточке инцидента R-Vision IRP для дальнейшего анализа и вывода в отчет.

  Действия выполняются в такой же последовательности на этапе автоматической обработки, если нет возможности сразу сохранить всю информацию по инциденту при импорте.

Интеграция с Active Directory

KUMA можно интегрировать с используемыми в вашей организации службами Active Directory.

Вы можете настроить подключение к службе каталогов Active Directory по протоколу LDAP. Это позволит использовать информацию из Active Directory в правилах корреляции для обогащения событий и алертов, а также для аналитики.

Если вы настроите соединение с сервером контроллера домена, это позволит использовать доменную авторизацию. В этом случае вы сможете привязать группы пользователей из Active Directory к фильтрам ролей KUMA. Пользователи, принадлежащие к этим группам, смогут войти в веб-интерфейс KUMA, используя свои доменные учетные данные, и получат доступ к разделам программы в соответствии с назначенной ролью.

Рекомендуется предварительно создать в Active Directory группы пользователей, которым вы хотите предоставить возможность проходить авторизацию с помощью доменной учетной записи в веб-интерфейсе KUMA. В свойствах учетной записи пользователя в Active Directory обязательно должен быть указан адрес электронной почты.

Подключение по протоколу LDAP

Подключения по протоколу LDAP создаются и управляются в разделе Параметры → LDAP-сервер веб-интерфейса KUMA. В разделе Интеграция c LDAP-сервером по тенантам отображаются тенанты, для которых созданы подключения по протоколу LDAP. Тенанты можно создать или удалить.

Если выбрать тенант, откроется окно Интеграция c LDAP-сервером, в котором отображается таблица с существующими LDAP-подключениями. Подключения можно создать или изменить. В этом же окне можно изменить частоту обращения к LDAP-серверам и установить срок хранения устаревших данных.

После включения интеграции информация об учетных записях Active Directory становится доступной в окне алертов, в окне с подробной информацией о событиях корреляции, а также окне инцидентов. При выборе имени учетной записи в разделе Связанные пользователи откроется окно Информация об учетной записи с данными, импортированными из Active Directory.

Данные из LDAP можно также использовать при обогащении событий в коллекторах и в аналитике.

Импортируемые атрибуты Active Directory

Включение и выключение LDAP-интеграции

Можно включить или выключить сразу все LDAP-подключения тенанта, а можно включить или выключить только определенное LDAP-подключение.

Чтобы включить или отключить все LDAP-подключения тенанта:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить все подключения к LDAP.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Установите или снимите флажок Выключено.
3. Нажмите Сохранить.

Чтобы включить или отключить определенное LDAP-подключение:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Выберите нужное подключение и в открывшемся окне установите или снимите флажок Выключено.
3. Нажмите Сохранить.

Добавление тенанта в список тенантов для интеграции с LDAP-сервером

Чтобы добавить тенант в список тенантов для интеграции с LDAP-сервером:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Нажмите на кнопку Добавить тенант.

   Отобразится окно Интеграция с LDAP-сервером.

3. В раскрывающемся списке Тенант выберите тенант, который вам требуется добавить.
4. Нажмите Сохранить.

Выбранный тенант добавлен в список тенантов для интеграции с LDAP-сервером.

Чтобы добавить тенант из списка тенантов для интеграции с LDAP-сервером:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Отобразится таблица Интеграция с LDAP-сервером по тенантам.

2. Установите флажок рядом с тенантом, который необходимо удалить, и нажмите на кнопку Удалить.
3. Подтвердите удаление тенанта.

Выбранный тенант удален из списка тенантов для интеграции с LDAP-сервером.

Создание подключения к LDAP-серверу

Чтобы создать LDAP-подключение к Active Directory:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA.
2. Выберите или создайте тенант, для которого хотите создать подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

3. Нажмите на кнопку Добавить подключение.

   Откроется окно Параметры подключения.

4. Добавьте секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
   1. Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий ресурс секрета (тип credentials).

      Выбранный секрет можно изменить, нажав на кнопку .

   2. Если вы хотите создать новый секрет, нажмите на кнопку .

      Откроется окно Секрет.

   3. В поле Название (обязательно) введите название ресурса: от 1 до 128 символов Юникода.
   4. В полях Пользователь и Пароль (обязательно) введите учетные данные для подключения к серверу Active Directory.

      Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.

   5. В поле Описание введите описание ресурса: до 256 символов Юникода.
   6. Нажмите на кнопку Сохранить.
5. В поле Название (обязательно) введите уникальное имя LDAP-подключения.

   Длина должна быть от 1 до 128 символов Юникода.

6. В поле URL (обязательно) введите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

7. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Тип выберите один из следующих вариантов:
   • startTLS.

     При использовании метода

     startTLS

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • ssl.

     При использовании SSL сразу устанавливается шифрованное соединение по порту 636.

   • незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

8. Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат. Следует использовать сертификат удостоверяющего центра, которым подписан сертификат сервера LDAP. Пользовательские сертификаты использовать нельзя. Чтобы добавить сертификат, выполните следующие действия:
   1. Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Сертификат.

      Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

   2. Если вы хотите загрузить новый сертификат, справа от списка Сертификат нажмите на кнопку .

      Откроется окно Секрет.

   3. В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
   4. По кнопке Загрузить файл сертификата добавьте файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в Base64.
   5. Если требуется, укажите любую информацию о сертификате в поле Описание.
   6. Нажмите на кнопку Сохранить.

   Сертификат будет загружен и отобразится в списке Сертификат.

9. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

   Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

10. В поле База поиска (Base DN)  введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
11. Установите флажок Выключено, если не хотите использовать это LDAP-подключение.

    По умолчанию флажок снят.

12. Нажмите на кнопку Сохранить.

LDAP-подключение к Active Directory создано и отображается в окне Интеграция с LDAP-сервером.

Информация об учетных записях из Active Directory будет запрошена сразу после сохранения подключения, а затем будет обновляться с указанной периодичностью.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

Создание копии подключения к LDAP-серверу

Вы можете создать LDAP-подключение, скопировав уже существующее подключение. В этом случае в созданное подключение дублируются все параметры исходного подключения.

Чтобы скопировать LDAP-подключение:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, для которого вы хотите скопировать подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Выберите нужное подключение.
3. В открывшемся окне Параметры подключения нажмите на кнопку Дублировать подключение.

   Отобразится окно создания нового подключения. К названию подключения будет добавлено слово копия.

4. Если требуется, измените нужные параметры.
5. Нажмите на кнопку Сохранить.

Создано новое подключение.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

Изменение подключения к LDAP-серверу

Чтобы изменить подключение к LDAP-серверу:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Выберите тенант, для которого вы хотите изменить подключение к LDAP-серверу.

   Откроется окно Интеграция с LDAP-сервером.

3. Нажмите на подключение с LDAP-серверу, которое вы хотите изменить.

   Откроется окно с параметрами выбранного подключения к LDAP-серверу.

4. Измените значения необходимых параметров.
5. Нажмите на кнопку Сохранить.

Подключение к LDAP-серверу изменено. Перезапустите сервисы KUMA, использующие обогащение данными LDAP-серверов, чтобы изменения вступили в силу.

Изменение частоты обновления данных

KUMA обращается к LDAP-серверу для обновления данных об учетных записях. Это происходит в следующих случаях:

• Сразу после создания нового подключения.
• Сразу после изменения параметров существующего подключения.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 12 часов.
• При создании пользователем задачи на обновление данных об учетных записях.

При обращении к LDAP-серверам создается задача в разделе Диспетчер задач веб-интерфейса KUMA.

Чтобы изменить расписание обращений KUMA к LDAP-серверам:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите нужный тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. В поле Период обновления данных укажите требуемую частоту в часах. Значение по умолчанию – 12.

Расписание обращений изменено.

Изменение срока хранения данных

Полученные данные об учетных записях, если сведения о них перестают поступать от сервера Active Directory, по умолчанию хранятся в KUMA в течение 90 дней. По прошествии этого срока данные удаляются.

После удаления данных об учетных записях в KUMA новые и существующие события не обогащаются этой информацией. Информация об учетных записях также будет недоступна в алертах. Если вы хотите просматривать информацию об учетных записях на протяжении всего времени хранения алерта, требуется установить срок хранения данных об учетных записях больше, чем срок хранения алерта.

Чтобы изменить срок хранения данных об учетных записях:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите нужный тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. В поле Время хранения данных укажите количество дней, в течение которого требуется хранить полученные от LDAP-сервера данные.

Срок хранения данных об учетных записях изменен.

Запуск задач на обновление данных об учетных записях

После создания подключения к серверу Active Directory задачи на получение данных об учетных записях создаются автоматически. Это происходит в следующих случаях:

• Сразу после создания нового подключения.
• Сразу после изменения параметров существующего подключения.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 12 часов. Расписание можно изменить.

Задачи на обновление данных об учетных записях можно создать вручную. Загрузить данные можно для всех подключений требуемого тенанта, так и для одного подключения.

Чтобы запустить задачу на обновление данных об учетных записях для всех LDAP-подключений тенанта:

1. Откройте в веб-интерфейсе KUMA разделе Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите требуемый тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. Нажмите на кнопку Импортировать учетные записи.

В разделе Диспетчер задач веб-интерфейса KUMA добавлена задача на получение данных об учетных записях выбранного тенанта.

Чтобы запустить задачу на обновление данных об учетных записях для одного LDAP-подключения тенанта:

1. Откройте в веб-интерфейсе KUMA разделе Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите требуемый тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. Выберите требуемое подключение к LDAP-серверу.

   Откроется окно Параметры подключения.

4. Нажмите на кнопку Импортировать учетные записи.

В разделе Диспетчер задач веб-интерфейса KUMA добавлена задача на получение данных об учетных записях из выбранного подключения тенанта.

Удаление подключения к LDAP-серверу

Чтобы удалить LDAP-подключения к Active Directory:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, которому принадлежит нужное подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Нажмите на подключение LDAP, которое вы хотите удалить, а затем нажмите на кнопку Удалить.
3. Подтвердите удаление подключения.

LDAP-подключение к Active Directory удалено.

Авторизация с помощью доменных учетных записей

Для того чтобы пользователи могли проходить авторизацию в веб-интерфейсе KUMA с помощью своих доменных учетных данных, требуется выполнить следующие этапы настройки.

1. Включить доменную авторизацию, если она отключена

   По умолчанию доменная авторизация включена, но подключение к домену не настроено.

2. Настроить соединение с контроллером домена

   Вы можете подключиться только к одному домену.

3. Добавить группы ролей пользователей

   Вы можете указать для каждой роли KUMA группу Active Directory. Пользователи из этой группы, пройдя авторизацию с помощью своих доменных учетных данных, будут получать доступ к веб-интерфейсу KUMA в соответствии с указанной ролью.

   При этом программа проверяет соответствие группы пользователя в Active Directory указанному фильтру в порядке следования ролей в веб-интерфейсе KUMA: оператор → аналитик → администратор тенанта → главный администратор. При первом совпадении пользователю присваивается роль и дальнейшая проверка не осуществляется. Если для пользователя указано две группы в одном тенанте, то будет использована роль с наименьшими правами. Если указано несколько групп для разных тенантов, то в каждом тенанте пользователю будет присвоена указанная роль.

Если вы выполнили все этапы настройки, но пользователь не может авторизоваться в веб-интерфейсе KUMA с помощью своей доменной учетной записи, рекомендуется проверить конфигурацию на наличие следующих проблем:

• В свойствах учетной записи пользователя в Active Directory не указан адрес электронной почты. В этом случае при первой авторизации пользователя отобразится сообщение об ошибке и учетная запись KUMA не будет создана.
• Локальная учетная запись KUMA с адресом электронной почты, указанным в свойствах доменной учетной записи, уже существует. В этом случае при попытке авторизации с помощью доменной учетной записи пользователь получит сообщение об ошибке.
• Доменная авторизация отключена в параметрах KUMA.
• Допущена ошибка при вводе группы ролей.
• Доменное имя пользователя содержит пробел.

Включение и выключение доменной авторизации

По умолчанию доменная авторизация включена, но подключение к домену Active Directory не настроено. Если после настройки подключения вы хотите временно приостановить доменную авторизацию, вы можете отключить ее в веб-интерфейсе KUMA, не удаляя заданные ранее значения параметров. При необходимости вы сможете в любой момент включить авторизацию снова.

Чтобы включить или отключить доменную авторизацию пользователей в веб-интерфейсе KUMA:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная авторизация.
2. Выполните одно из следующих действий:
   • Если вы хотите выключить доменную авторизацию, в верхней части рабочей области установите флажок Выключено.
   • Если вы хотите включить доменную авторизацию, в верхней части рабочей области снимите флажок Выключено.
3. Нажмите на кнопку Сохранить.

Доменная авторизация будет включена или отключена.

Настройка соединения с контроллером домена

Вы можете подключиться только к одному домену Active Directory. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена Active Directory:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная авторизация.
2. В блоке параметров Подключение в поле База поиска (Base DN) введите DistinguishedName корневой записи для поиска групп доступа в службе каталогов Active Directory.
3. В поле URL укажите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

4. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Режим TLS выберите один из следующих вариантов:
   • startTLS.

     При использовании метода startTLS сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • ssl.

     При использовании SSL сразу устанавливается шифрованное соединение по порту 636.

   • незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

5. Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат:
   • Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Секрет.

     Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

   • Если вы хотите загрузить новый сертификат, справа от списка Секрет нажмите на кнопку . В открывшемся окне в поле Название введите название, которое будет отображаться в списке сертификатов после его добавления. Добавьте файл с сертификатом Active Directory (поддерживаются открытые ключи сертификата X.509 в Base64), нажав на кнопку Загрузить файл сертификата. Нажмите на кнопку Сохранить.

     Сертификат будет загружен и отобразится в списке Секрет.

6. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

   Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и так далее. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

7. Если вы хотите настроить доменную авторизацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы Active Directory, в которой состоит пользователь.

   Если для пользователя указано две группы в одном тенанте, то будет использована роль с наименьшими правами.

   Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

8. Нажмите на кнопку Сохранить.

Соединение с контроллером домена Active Directory будет настроено. Для работы доменной авторизации требуется также добавить группы для ролей пользователей KUMA.

Вы также можете проверить соединение для введенных ранее параметров соединения с контроллером домена.

Чтобы проверить соединение с контроллером домена:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная авторизация.
2. В блоке параметров Проверка подключения выберите нужный секрет в поле Данные аутентификации.

   При необходимости вы можете создать новый секрет, нажав на кнопку , или изменить параметры существующего секрета, нажав на кнопку .

3. Нажмите на кнопку Тест.

Отобразится всплывающее уведомление с результатами теста. Во всплывающем уведомлении отображается сообщение: Подключение установлено. Если соединение установить не удалось, то отображается причина отсутствия соединения.

Добавление групп ролей пользователей

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную авторизацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная авторизация.
2. В блоке параметров Группы ролей нажмите на кнопку Добавить группы ролей.
3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную авторизацию.
4. Укажите DistinguishedName группы Active Directory, пользователи которой должны иметь возможность пройти авторизацию со своими доменными учетными данными, в полях для следующих ролей:
   • Оператор.
   • Аналитик.
   • Администратор.

   Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

   Вы можете указать для каждой роли только одну группу Active Directory. Если вам нужно указать несколько групп, то для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную авторизацию с ролями оператор, аналитик или администратор тенанта.
6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой авторизации пользователя информация о нем отобразится в разделе Параметры → Пользователи. Поля Логин и Пароль, полученные из Active Directory, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной авторизации пользователя. До истечения текущей сессии пользователь продолжает работу со старой ролью.

Если в свойствах учетной записи Active Directory изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

Интеграция с НКЦКИ

Вы можете создать в веб-интерфейсе KUMA подключение к Национальному координационному центру по компьютерным инцидентам (далее "НКЦКИ"). Это позволит вам экспортировать в него инциденты, зарегистрированные в KUMA. Интеграция настраивается в разделе Параметры → НКЦКИ веб-интерфейса KUMA.

Интеграцию можно включить или выключить с помощью флажка Выключено.

Чтобы создать подключение к НКЦКИ:

1. Откройте раздел веб-интерфейса KUMA Параметры → НКЦКИ.
2. В поле URL введите URL, по которому доступен НКЦКИ. Например: https://example.cert.gov.ru/api/v2/
3. В блоке параметров Токен создайте или выберите существующий ресурс секрета с API-токеном, который был выдан вашей организации для подключения к НКЦКИ:
   • Если у вас уже есть секрет, его можно выбрать в раскрывающемся списке.
   • Если вы хотите создать новый секрет:
     1. Нажмите на кнопку и укажите следующие параметры:
        • Название (обязательно) – уникальное имя создаваемого сервиса. Название должно содержать от 1 до 128 символов Юникода.
        • Токен (обязательно) – токен, который был выдан вашей организации для подключения к НКЦКИ.
        • Описание – описание сервиса: до 256 символов Юникода.
     2. Нажмите Сохранить.

     Секрет с токеном для подключения к НКЦКИ создан. Он хранится в разделе Ресурсы → Секреты и принадлежит главному тенанту.

   Выбранный секрет можно изменить, нажав на кнопку .

4. В раскрывающемся списке Сфера деятельности компании выберите сферу, в которой работает ваша организация.

   Доступные сферы деятельности компании

   • Атомная энергетика
   • Банковская сфера и иные сферы финансового рынка
   • Горнодобывающая промышленность
   • Государственная/муниципальная власть
   • Здравоохранение
   • Металлургическая промышленность
   • Наука
   • Оборонная промышленность
   • Образование
   • Ракетно-космическая промышленность
   • Связь
   • СМИ
   • Топливно-энергетический комплекс
   • Транспорт
   • Химическая промышленность
   • Иная
5. В поле Название компании укажите название вашей компании. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.
6. С помощью раскрывающегося списка Местоположение укажите, где располагается ваша компания. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.
7. При необходимости в блоке параметров Прокси-сервер создайте или выберите существующий ресурс прокси-сервера, который должен использоваться при подключении к НКЦКИ.
8. Нажмите Сохранить.

KUMA интегрирована с НКЦКИ. Теперь вы можете экспортировать в него инциденты.

Интеграция с Security Vision Incident Response Platform

Security Vision Incident Response Platform (далее Security Vision IRP) – это программная платформа для автоматизации мониторинга, обработки и реагирования на инциденты информационной безопасности. Она объединяет данные о киберугрозах из различных источников в единую базу данных для дальнейшего анализа и расследования, что позволяет облегчить реагирование на инциденты.

Security Vision IRP можно интегрировать с KUMA. После настройки интеграции в Security Vision IRP можно выполнять следующие задачи:

• Запрашивать из KUMA сведения об алертах. При этом в Security Vision IRP по полученным данным создаются инциденты.
• Отправлять в KUMA запросы на закрытие алертов.

Интеграция реализована с помощью KUMA REST API. На стороне Security Vision IRP интеграция осуществляется с помощью преднастроенного коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика Security Vision IRP.

Работа с инцидентами Security Vision IRP

Инциденты Security Vision IRP, созданные на основе данных об алертах KUMA, можно просмотреть в Security Vision IRP в разделе Инциденты → Инциденты (2 линии) → Все инциденты (2 линии). В каждый инцидент Security Vision IRP записываются события, относящиеся к алертам KUMA. Импортированные события можно просмотреть на закладке Реагирование.

Алерт KUMA, импортированный в Security Vision IRP в качестве инцидента

Настройка интеграции в KUMA

Для того чтобы настроить интеграцию KUMA и Security Vision IRP необходимо настроить авторизацию API-запросов в KUMA. Для этого требуется создать токен для пользователя KUMA, от имени которого будут обрабатываться API-запросы на стороне KUMA.

Токен можно сгенерировать в профиле своей учетной записи. Пользователи с ролью главный администратор могут генерировать токены в учетных записях других пользователей. Вы всегда можете сгенерировать новый токен.

Чтобы сгенерировать токен в профиле своей учетной записи:

1. В веб-интерфейсе KUMA в левом нижнем углу окна нажмите на имя учетной записи пользователя и в открывшемся меню нажмите на кнопку Профиль.

   Откроется окно Пользователь с параметрами вашей учетной записи.

2. Нажмите на кнопку Сгенерировать токен.
3. В открывшемся окне скопируйте созданный токен. Он потребуется для настройки Security Vision IRP.

   При закрытии окна токен больше не отображается, и, если вы его не скопировали, потребуется сгенерировать новый токен.

Сгенерированный токен требуется указать в параметрах коннектора Security Vision IRP.

Настройка интеграции в Security Vision IRP

Настройка интеграции в Security Vision IRP заключается в импорте и настройки коннектора. При необходимости можно также изменить другие параметры Security Vision IRP, связанные с обработкой данных KUMA: например, расписание обработки данных и рабочий процесс.

Более подробные сведения о настройке Security Vision IRP см. в документации продукта.

Импорт и настройка коннектора

Добавление коннектора в Security Vision IRP

Интеграция Security Vision IRP и KUMA осуществляется с помощью коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика Security Vision IRP..

Чтобы импортировать коннектор Kaspersky KUMA в Security Vision IRP:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в Security Vision IRP.

2. В верхней части экрана нажмите на кнопку импорта и выберите zip-архив с коннектором Kaspersky KUMA.

Коннектор импортирован в Security Vision IRP и готов к настройке.

Настройка в коннекторе подключения к KUMA

Для использования коннектора нужно настроить его подключение к KUMA.

Чтобы настроить в Security Vision IRP подключение к KUMA с помощью коннектора Kaspersky KUMA:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в вашу Security Vision IRP.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие параметры коннектора.

3. В разделе Параметры коннектора нажмите на кнопку Редактировать.

   Отобразится конфигурация коннектора.

4. В поле URL укажите адрес и порт KUMA. Например, kuma.example.com:7223.
5. В поле Token укажите API-токен пользователя KUMA.

Подключение к KUMA настроено в коннекторе Security Vision IRP.

Настройки коннектора Security Vision IRP

Настройка в коннекторе Security Vision IRP команд для взаимодействия с KUMA

С помощью Security Vision IRP можно получать сведения об алертах KUMA (или инцидентах в терминологии Security Vision IRP), а также отправлять запросы на их закрытие. Для выполнения этих действий в коннекторе Security Vision IRP нужно настроить соответствующие команды.

В инструкциях ниже описано, как добавить команды на получение и закрытие алертов, однако при необходимости реализовать более сложную логику взаимодействия Security Vision IRP и KUMA вы можете аналогичным образом создать команды с другими API-запросами.

Чтобы настроить команду на получение из KUMA сведений об алертах:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в Security Vision IRP.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие настройки коннектора.

3. Нажмите на кнопку +Команда.

   Откроется окно создания команды.

4. Укажите параметры команды для получения алертов:
   • В поле Наименование введите название команды: Получение инцидентов.
   • В раскрывающемся списке Тип запроса выберите GET.
   • В поле Вызываемый метод введите API-запрос на поиск алертов: api/v1/alerts/?withEvents&status=new
   • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
   • В раскрывающемся списке Тип контента выберите application/json.
5. Сохраните команду и закройте окно.

Команда коннектора настроена. При этой команды коннектор Security Vision IRP будет запрашивать в KUMA сведения обо всех алертах со статусом Новый и всех относящихся к ним событиях. Полученные данные будут передаваться в обработчик Security Vision IRP, который на их основе будет создавать инциденты Security Vision IRP. Если алерт уже был импортирован в Security Vision IRP, но в нем появились новые данные, сведения о нем будут обновлены в Security Vision IRP.

Чтобы настроить команду на закрытие алертов KUMA:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в Security Vision IRP.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие настройки коннектора.

3. Нажмите на кнопку +Команда.

   Отобразится окно создания команды.

4. Укажите параметры команды для получения алертов:
   • В поле Наименование введите название команды: Закрытие инцидента.
   • В раскрывающемся списке Тип запроса выберите POST.
   • В поле Вызываемый метод введите API-запрос на закрытие алерта: api/v1/alerts/close
   • В поле Запрос введите содержимое отправляемого API-запроса: {"id":"<Идентификатор алерта>","reason":"responded"}

     Можно создать несколько команд для разных причин закрытия алертов: responded, incorrect data, incorrect correlation rule.

   • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
   • В раскрывающемся списке Тип контента выберите application/json.
5. Сохраните команду и закройте окно.

Команда коннектора настроена. При выполнении этой команды в Security Vision IRP будет закрыт инцидент, а в KUMA будет закрыт соответствующий ему алерт.

Создание команд в Security Vision IRP

После настройки коннектора Security Vision IRP алерты KUMA будут поступать в платформу в виде инцидентов Security Vision IRP. Далее необходимо настроить обработку инцидентов в Security Vision IRP в соответствии с существующей в вашей организации политикой безопасности.

Настройка обработчика, расписания и рабочего процесса

Обработчик Security Vision IRP

Обработчик Security Vision IRP принимает от коннектора Security Vision IRP данные об алертах KUMA и создает на их основе инциденты Security Vision IRP. Для обработки используется предустановленный обработчик KUMA (Инциденты). Настройки обработчика KUMA (Инциденты) доступны в Security Vision IRP в разделе Настройки → Обработка событий → Обработчики событий:

• Правила обработки алертов KUMA можно просмотреть в настройках обработчика на закладке Нормализация.
• Действия при создании новых объектов можно просмотреть в настройках обработчика на закладке Действия для создания объектов типа Инцидент (2 линии).

Расписание запуска обработчика

Запуск коннектора и обработчика выполняется по предустановленному расписанию KUMA. Настройка этого расписания доступна в Security Vision IRP в разделе Настройки → Обработка событий → Расписание:

• В блоке параметров Настройки коннектора можно настроить параметры запуска коннектора.
• В блоке параметров Настройки обработки можно настроить параметры запуска обработчика.

Рабочий процесс Security Vision IRP

Жизненный цикл инцидентов Security Vision IRP, созданных на основе алертов KUMA, проходит по преднастроенному процессу Обработка инц. (2 линии). Настройка рабочего процесса доступна в Security Vision IRP в разделе Настройки → Рабочие процессы → Шаблоны рабочих процессов: выберите процесс Обработка инц. (2 линии) и нажмите на транзакцию или состояние, которое необходимо изменить.

Интеграция с Kaspersky Industrial CyberSecurity for Networks

Kaspersky Industrial CyberSecurity for Networks (далее "KICS for Networks") – программа для защиты инфраструктуры промышленных предприятий от угроз информационной безопасности и для обеспечения непрерывности технологических процессов. Программа анализирует трафик промышленной сети для выявления отклонений в значениях технологических параметров, обнаружения признаков сетевых атак, контроля работы и текущего состояния устройств в сети.

KICS for Networks версии 4.0 и выше можно интегрировать с KUMA. После настройки интеграции в KUMA можно выполнять следующие задачи:

• Импортировать из KICS for Networks в KUMA сведения об активах.
• Отправлять из KUMA в KICS for Networks команды на изменение статусов активов.

В отличие от KUMA, в KICS for Networks активы называются устройствами.

Интеграцию KICS for Networks и KUMA необходимо настроить на стороне обеих программ:

1. В KICS for Networks необходимо создать коннектор KUMA и сохранить файл свертки этого коннектора.
2. В KUMA с помощью файла свертки коннектора создается подключение к KICS for Networks.

Описываемая в этом разделе интеграция касается импорта сведений об активах. KICS for Networks можно также настроить на отправку событий в KUMA. Для этого необходимо в KICS for Networks создать коннектор типа SIEM/Syslog, а на стороне KUMA – настроить коллектор.

Настройка интеграции в KICS for Networks

Интеграция поддерживается с KICS for Networks версий 4.0 и выше.

Настройку интеграции KICS for Networks и KUMA рекомендуется проводить после завершения режима обучения правилам контроля процесса. Подробнее см. в документации KICS for Networks.

На стороне KICS for Networks настройка интеграции заключается в создании коннектора типа KUMA. В KICS for Networks коннекторы – это специальные программные модули, которые обеспечивают обмен данными KICS for Networks со сторонними системами, в том числе с KUMA. Подробнее о создании коннекторов см. в документации KICS for Networks.

При добавлении в KICS for Networks коннектора автоматически создается файл свертки для этого коннектора. Это зашифрованный файл конфигурации для подключения к KICS for Networks, который используется при настройке интеграции на стороне KUMA.

Настройка интеграции в KUMA

Настройку интеграции KICS for Networks и KUMA рекомендуется проводить после завершения режима обучения правилам контроля процесса. Подробнее см. в документации KICS for Networks.

Чтобы настроить в KUMA интеграцию с KICS for Networks:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Industrial CyberSecurity for Networks.

   Откроется окно Интеграция с Kaspersky Industrial CyberSecurity for Networks по тенантам.

2. Выберите или создайте тенант, для которого хотите создать интеграцию с KICS for Networks.

   Откроется окно Интеграция с Kaspersky Industrial CyberSecurity for Networks.

3. Нажмите на поле Файл свертки и выберите файл свертки коннектора, созданный в KICS for Networks.
4. В поле Пароль файла свертки введите пароль файла свертки.
5. Установите флажок Включить реагирование, если вы хотите изменять статусы активов KICS for Networks с помощью правил реагирования KUMA.
6. Нажмите Сохранить.

В KUMA настроена интеграция с KICS for Networks, в окне отображается IP-адрес узла, на котором будет работать коннектор KICS for Networks, а также его идентификатор.

Включение и выключение интеграции c KICS for Networks

Чтобы включить или выключить для тенанта интеграцию c KICS for Networks:

1. Откройте раздел Параметры → Kaspersky Industrial CyberSecurity for Networks веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить интеграцию с KICS for Networks.

   Откроется окно Интеграция с Kaspersky Industrial CyberSecurity for Networks.

2. Установите или снимите флажок Выключено.
3. Нажмите Сохранить.

Изменение частоты обновления данных

KUMA обращается к KICS for Networks для обновления сведений об активах. Это происходит в следующих случаях:

• Сразу после создания новой интеграции.
• Сразу после изменения параметров существующей интеграции.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 3 часа.
• При создании пользователем задачи на обновление данных об активах.

При обращении к KICS for Networks создается задача в разделе Диспетчер задач веб-интерфейса KUMA.

Чтобы изменить расписание импорта сведений об активах KICS for Networks:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → Kaspersky Industrial CyberSecurity for Networks.
2. Выберите нужный тенант.

   Откроется окно Интеграция с Kaspersky Industrial CyberSecurity for Networks.

3. В поле Период обновления данных укажите требуемую частоту в часах. Значение по умолчанию – 3.

Расписание импорта изменено.

Особенности импорта информации об активах из KICS for Networks

Импорт активов

Активы импортируются в соответствии с правилами импорта активов. Импортируются только активы со статусами Разрешенное и Неразрешенное.

Активы KICS for Networks идентифицируются по комбинации следующих параметров:

• IP-адрес экземпляра KICS for Networks, с которым настроена интеграция.
• Идентификатор коннектора KICS for Networks, с помощью которого настроена интеграция.
• Идентификатор, присвоенный активу (или "устройству") в экземпляре KICS for Networks.

Импорт сведений об уязвимостях

При импорте активов в KUMA также поступают сведения об активных уязвимостях KICS for Networks. Если в KICS for Networks уязвимость была помечена как устраненная или незначительная, сведения о ней удаляются из KUMA при следующем импорте.

Сведения об уязвимостях активов отображаются в окне Информация об активе в блоке параметров Уязвимости на языке локализации KICS for Networks.

В KICS for Networks уязвимости называются рисками и разделяются на несколько типов. В KUMA импортируются все типы рисков.

Срок хранения импортированных данных

Если сведения о ранее импортированном активе перестают поступать из KICS for Networks, актив удаляется по прошествии 30 дней.

Изменение статуса актива KICS for Networks

После настройки интеграции вы можете менять статусы активов KICS for Networks из KUMA. Статусы можно менять автоматически и вручную.

Статусы активов можно менять, только если вы включили реагирование в настройках подключения к KICS for Networks.

Изменение статуса актива KICS for Networks вручную

Пользователи с ролями Главный Администратор, Администратор и Аналитик в доступных им тенантах могут вручную менять статусы активов, импортированных из KICS for Networks.

Чтобы вручную изменить статус актива KICS for Networks:

1. В разделе Активы веб-интерфейса KUMA нажмите на актив, который вы хотите изменить.

   В правой части окна откроется область Информация об активе.

2. В раскрывающемся списке Статус KICS for Networks выберите статус, который необходимо присвоить активу KICS for Networks. Доступны статусы Разрешенное или Неразрешенное.

Статус актива изменен. Новый статус отображается в KICS for Networks и в KUMA.

Изменение статуса актива KICS for Networks автоматически

Автоматическое изменение статусов активов KICS for Networks реализовано с помощью правил реагирования. Правила необходимо добавить в коррелятор, который будет определять условия их срабатывания.