Настройка интеграции в Security Vision IRP

Настройка интеграции в Security Vision IRP заключается в импорте и настройки коннектора. При необходимости можно также изменить другие параметры Security Vision IRP, связанные с обработкой данных KUMA: например, расписание обработки данных и рабочий процесс.

Более подробные сведения о настройке Security Vision IRP см. в документации продукта.

Импорт и настройка коннектора

Добавление коннектора в Security Vision IRP

Интеграция Security Vision IRP и KUMA осуществляется с помощью коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика Security Vision IRP..

Чтобы импортировать коннектор Kaspersky KUMA в Security Vision IRP:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в Security Vision IRP.

2. В верхней части экрана нажмите на кнопку импорта и выберите zip-архив с коннектором Kaspersky KUMA.

Коннектор импортирован в Security Vision IRP и готов к настройке.

Настройка в коннекторе подключения к KUMA

Для использования коннектора нужно настроить его подключение к KUMA.

Чтобы настроить в Security Vision IRP подключение к KUMA с помощью коннектора Kaspersky KUMA:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в вашу Security Vision IRP.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие параметры коннектора.

3. В разделе Параметры коннектора нажмите на кнопку Редактировать.

   Отобразится конфигурация коннектора.

4. В поле URL укажите адрес и порт KUMA. Например, kuma.example.com:7223.
5. В поле Token укажите API-токен пользователя KUMA.

Подключение к KUMA настроено в коннекторе Security Vision IRP.

Настройки коннектора Security Vision IRP

Настройка в коннекторе Security Vision IRP команд для взаимодействия с KUMA

С помощью Security Vision IRP можно получать сведения об алертах KUMA (или инцидентах в терминологии Security Vision IRP), а также отправлять запросы на их закрытие. Для выполнения этих действий в коннекторе Security Vision IRP нужно настроить соответствующие команды.

В инструкциях ниже описано, как добавить команды на получение и закрытие алертов, однако при необходимости реализовать более сложную логику взаимодействия Security Vision IRP и KUMA вы можете аналогичным образом создать команды с другими API-запросами.

Чтобы настроить команду на получение из KUMA сведений об алертах:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в Security Vision IRP.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие настройки коннектора.

3. Нажмите на кнопку +Команда.

   Откроется окно создания команды.

4. Укажите параметры команды для получения алертов:
   • В поле Наименование введите название команды: Получение инцидентов.
   • В раскрывающемся списке Тип запроса выберите GET.
   • В поле Вызываемый метод введите API-запрос на поиск алертов: api/v1/alerts/?withEvents&status=new
   • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
   • В раскрывающемся списке Тип контента выберите application/json.
5. Сохраните команду и закройте окно.

Команда коннектора настроена. При этой команды коннектор Security Vision IRP будет запрашивать в KUMA сведения обо всех алертах со статусом Новый и всех относящихся к ним событиях. Полученные данные будут передаваться в обработчик Security Vision IRP, который на их основе будет создавать инциденты Security Vision IRP. Если алерт уже был импортирован в Security Vision IRP, но в нем появились новые данные, сведения о нем будут обновлены в Security Vision IRP.

Чтобы настроить команду на закрытие алертов KUMA:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в Security Vision IRP.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие настройки коннектора.

3. Нажмите на кнопку +Команда.

   Отобразится окно создания команды.

4. Укажите параметры команды для получения алертов:
   • В поле Наименование введите название команды: Закрытие инцидента.
   • В раскрывающемся списке Тип запроса выберите POST.
   • В поле Вызываемый метод введите API-запрос на закрытие алерта: api/v1/alerts/close
   • В поле Запрос введите содержимое отправляемого API-запроса: {"id":"<Идентификатор алерта>","reason":"responded"}

     Можно создать несколько команд для разных причин закрытия алертов: responded, incorrect data, incorrect correlation rule.

   • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
   • В раскрывающемся списке Тип контента выберите application/json.
5. Сохраните команду и закройте окно.

Команда коннектора настроена. При выполнении этой команды в Security Vision IRP будет закрыт инцидент, а в KUMA будет закрыт соответствующий ему алерт.

Создание команд в Security Vision IRP

После настройки коннектора Security Vision IRP алерты KUMA будут поступать в платформу в виде инцидентов Security Vision IRP. Далее необходимо настроить обработку инцидентов в Security Vision IRP в соответствии с существующей в вашей организации политикой безопасности.

Настройка обработчика, расписания и рабочего процесса

Обработчик Security Vision IRP

Обработчик Security Vision IRP принимает от коннектора Security Vision IRP данные об алертах KUMA и создает на их основе инциденты Security Vision IRP. Для обработки используется предустановленный обработчик KUMA (Инциденты). Настройки обработчика KUMA (Инциденты) доступны в Security Vision IRP в разделе Настройки → Обработка событий → Обработчики событий:

• Правила обработки алертов KUMA можно просмотреть в настройках обработчика на закладке Нормализация.
• Действия при создании новых объектов можно просмотреть в настройках обработчика на закладке Действия для создания объектов типа Инцидент (2 линии).

Расписание запуска обработчика

Запуск коннектора и обработчика выполняется по предустановленному расписанию KUMA. Настройка этого расписания доступна в Security Vision IRP в разделе Настройки → Обработка событий → Расписание:

• В блоке параметров Настройки коннектора можно настроить параметры запуска коннектора.
• В блоке параметров Настройки обработки можно настроить параметры запуска обработчика.

Рабочий процесс Security Vision IRP

Жизненный цикл инцидентов Security Vision IRP, созданных на основе алертов KUMA, проходит по преднастроенному процессу Обработка инц. (2 линии). Настройка рабочего процесса доступна в Security Vision IRP в разделе Настройки → Рабочие процессы → Шаблоны рабочих процессов: выберите процесс Обработка инц. (2 линии) и нажмите на транзакцию или состояние, которое необходимо изменить.