Kaspersky Unified Monitoring and Analysis Platform
Русский

Содержание

Создание коннектора в R-Vision SOAR

Чтобы создать коннектор в R-Vision SOAR:

  1. В веб-интерфейсе R-Vision SOAR в разделе НастройкиУправление инцидентамиКоннекторы нажмите на значок плюса.
  2. В раскрывающемся списке Тип выберите REST.
  3. В поле Название укажите название коннектора, например, KUMA.
  4. В поле URL введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

    Пример: https://kuma-example.com:7223/api/v1/alerts/close

  5. В раскрывающемся списке Тип авторизации выберите Токен.
  6. В поле Auth header введите значение Authorization.
  7. В поле Auth value введите токен главного администратора KUMA в следующем формате:

    Bearer <токен главного администратора KUMA>

  8. В раскрывающемся списке Коллектор выберите ранее созданный коллектор.
  9. Нажмите Сохранить.

Коннектор создан.

Коннектор в R-Vision SOAR версии 4.0

rvision_7

Коннектор в R-Vision SOAR версии 5.0

rvision_7_v5

После того как коннектор создан, требуется настроить отправку API-запросов на закрытие алертов в KUMA.

Чтобы настроить отправку API-запросов в R-Vision SOAR:

  1. В веб-интерфейсе R-Vision SOAR в разделе НастройкиУправление инцидентамиКоннекторы откройте созданный коннектор для редактирования.
  2. В раскрывающемся списке типа запросов выберите POST.
  3. В поле Params введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

    Пример, https://kuma-example.com:7223/api/v1/alerts/close

  4. На закладке HEADERS добавьте следующие ключи и их значения:
    • Ключ Content-Type; значение: application/json.
    • Ключ Authorization; значение: Bearer <токен главного администратора KUMA>.

      Токен главного администратора KUMA можно получить в веб-интерфейсе KUMA в разделе ПараметрыПользователи.

  5. На закладке BODYRaw введите содержание тела API-запроса:

    {

        "id":"{{tag.ALERT_ID}}",

        "reason":"<причина закрытия алерта. Доступные значения: "Incorrect Correlation Rule", "Incorrect Data", "Responded".>"

    }

  6. Нажмите Сохранить.

Коннектор настроен.

Коннектор в R-Vision SOAR версии 4.0

Заголовок API-запроса

rvision_7.2

Тело API-запроса

rvision_7.3

Коннектор в R-Vision SOAR версии 5.0

rvision_7-2_v5

rvision_7.3_v5

В начало
[Topic 225576]