Импорт и настройка коннектора
Добавление коннектора в SOAR
Интеграция SOAR и KUMA осуществляется с помощью коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика SOAR.
Чтобы импортировать коннектор Kaspersky KUMA в SOAR:
- В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.
Отобразится список коннекторов, добавленных в SOAR.
- В верхней части экрана нажмите на кнопку импорта и выберите zip-архив с коннектором Kaspersky KUMA.
Коннектор импортирован в SOAR и готов к настройке.
Настройка в коннекторе подключения к KUMA
Для использования коннектора нужно настроить его подключение к KUMA.
Чтобы настроить в SOAR подключение к KUMA с помощью коннектора Kaspersky KUMA:
- В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.
Отобразится список коннекторов, добавленных в вашу SOAR.
- Выберите коннектор Kaspersky KUMA.
Отобразятся общие параметры коннектора.
- В разделе Параметры коннектора нажмите на кнопку Редактировать.
Отобразится конфигурация коннектора.
- В поле URL укажите адрес и порт KUMA. Например,
kuma.example.com:7223. - В поле Token укажите API-токен пользователя KUMA.
Подключение к KUMA настроено в коннекторе SOAR.
Настройка в коннекторе SOAR команд для взаимодействия с KUMA
С помощью SOAR можно получать сведения об алертах KUMA (или инцидентах в терминологии SOAR), а также отправлять запросы на их закрытие. Для выполнения этих действий в коннекторе SOAR нужно настроить соответствующие команды.
В инструкциях ниже описано, как добавить команды на получение и закрытие алертов, однако при необходимости реализовать более сложную логику взаимодействия SOAR и KUMA вы можете аналогичным образом создать команды с другими API-запросами.
Чтобы настроить команду на получение из KUMA сведений об алертах:
- В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.
Отобразится список коннекторов, добавленных в SOAR.
- Выберите коннектор Kaspersky KUMA.
Отобразятся общие настройки коннектора.
- Нажмите на кнопку +Команда.
Откроется окно создания команды.
- Укажите параметры команды для получения алертов:
- В поле Наименование введите название команды:
Получение инцидентов. - В раскрывающемся списке Тип запроса выберите GET.
- В поле Вызываемый метод введите API-запрос на поиск алертов:
api/v1/alerts/?withEvents&status=new - В разделе Заголовки запроса в поле Название укажите
authorization, а в поле Значение укажите Bearer <token>. - В раскрывающемся списке Тип контента выберите application/json.
- В поле Наименование введите название команды:
- Сохраните команду и закройте окно.
Команда коннектора настроена. При этой команды коннектор SOAR будет запрашивать в KUMA сведения обо всех алертах со статусом Новый и всех относящихся к ним событиях. Полученные данные будут передаваться в обработчик SOAR, который на их основе будет создавать инциденты SOAR. Если алерт уже был импортирован в SOAR, но в нем появились новые данные, сведения о нем будут обновлены в SOAR.
Чтобы настроить команду на закрытие алертов KUMA:
- В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.
Отобразится список коннекторов, добавленных в SOAR.
- Выберите коннектор Kaspersky KUMA.
Отобразятся общие настройки коннектора.
- Нажмите на кнопку +Команда.
Отобразится окно создания команды.
- Укажите параметры команды для получения алертов:
- В поле Наименование введите название команды:
Закрытие инцидента. - В раскрывающемся списке Тип запроса выберите POST.
- В поле Вызываемый метод введите API-запрос на закрытие алерта:
api/v1/alerts/close - В поле Запрос введите содержимое отправляемого API-запроса:
{"id":"<Идентификатор алерта>","reason":"responded"}Можно создать несколько команд для разных причин закрытия алертов: responded, incorrect data, incorrect correlation rule.
- В разделе Заголовки запроса в поле Название укажите
authorization, а в поле Значение укажите Bearer <token>. - В раскрывающемся списке Тип контента выберите application/json.
- В поле Наименование введите название команды:
- Сохраните команду и закройте окно.
Команда коннектора настроена. При выполнении этой команды в SOAR будет закрыт инцидент, а в KUMA будет закрыт соответствующий ему алерт.
После настройки коннектора SOAR алерты KUMA будут поступать в платформу в виде инцидентов SOAR. Далее необходимо настроить обработку инцидентов в SOAR в соответствии с существующей в вашей организации политикой безопасности.