Импорт и настройка коннектора
Добавление коннектора в Security Vision IRP
Интеграция Security Vision IRP и KUMA осуществляется с помощью коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика Security Vision IRP..
Чтобы импортировать коннектор Kaspersky KUMA в Security Vision IRP:
- В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.
Отобразится список коннекторов, добавленных в Security Vision IRP.
- В верхней части экрана нажмите на кнопку импорта и выберите zip-архив с коннектором Kaspersky KUMA.
Коннектор импортирован в Security Vision IRP и готов к настройке.
Настройка в коннекторе подключения к KUMA
Для использования коннектора нужно настроить его подключение к KUMA.
Чтобы настроить в Security Vision IRP подключение к KUMA с помощью коннектора Kaspersky KUMA:
- В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.
Отобразится список коннекторов, добавленных в вашу Security Vision IRP.
- Выберите коннектор Kaspersky KUMA.
Отобразятся общие параметры коннектора.
- В разделе Параметры коннектора нажмите на кнопку Редактировать.
Отобразится конфигурация коннектора.
- В поле URL укажите адрес и порт KUMA. Например,
kuma.example.com:7223. - В поле Token укажите API-токен пользователя KUMA.
Подключение к KUMA настроено в коннекторе Security Vision IRP.
Настройки коннектора Security Vision IRP
Настройка в коннекторе Security Vision IRP команд для взаимодействия с KUMA
С помощью Security Vision IRP можно получать сведения об алертах KUMA (или инцидентах в терминологии Security Vision IRP), а также отправлять запросы на их закрытие. Для выполнения этих действий в коннекторе Security Vision IRP нужно настроить соответствующие команды.
В инструкциях ниже описано, как добавить команды на получение и закрытие алертов, однако при необходимости реализовать более сложную логику взаимодействия Security Vision IRP и KUMA вы можете аналогичным образом создать команды с другими API-запросами.
Чтобы настроить команду на получение из KUMA сведений об алертах:
- В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.
Отобразится список коннекторов, добавленных в Security Vision IRP.
- Выберите коннектор Kaspersky KUMA.
Отобразятся общие настройки коннектора.
- Нажмите на кнопку +Команда.
Откроется окно создания команды.
- Укажите параметры команды для получения алертов:
- В поле Наименование введите название команды:
Получение инцидентов. - В раскрывающемся списке Тип запроса выберите GET.
- В поле Вызываемый метод введите API-запрос на поиск алертов:
api/v1/alerts/?withEvents&status=new - В разделе Заголовки запроса в поле Название укажите
authorization, а в поле Значение укажите Bearer <token>. - В раскрывающемся списке Тип контента выберите application/json.
- В поле Наименование введите название команды:
- Сохраните команду и закройте окно.
Команда коннектора настроена. При этой команды коннектор Security Vision IRP будет запрашивать в KUMA сведения обо всех алертах со статусом Новый и всех относящихся к ним событиях. Полученные данные будут передаваться в обработчик Security Vision IRP, который на их основе будет создавать инциденты Security Vision IRP. Если алерт уже был импортирован в Security Vision IRP, но в нем появились новые данные, сведения о нем будут обновлены в Security Vision IRP.
Чтобы настроить команду на закрытие алертов KUMA:
- В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.
Отобразится список коннекторов, добавленных в Security Vision IRP.
- Выберите коннектор Kaspersky KUMA.
Отобразятся общие настройки коннектора.
- Нажмите на кнопку +Команда.
Отобразится окно создания команды.
- Укажите параметры команды для получения алертов:
- В поле Наименование введите название команды:
Закрытие инцидента. - В раскрывающемся списке Тип запроса выберите POST.
- В поле Вызываемый метод введите API-запрос на закрытие алерта:
api/v1/alerts/close - В поле Запрос введите содержимое отправляемого API-запроса:
{"id":"<Идентификатор алерта>","reason":"responded"}Можно создать несколько команд для разных причин закрытия алертов: responded, incorrect data, incorrect correlation rule.
- В разделе Заголовки запроса в поле Название укажите
authorization, а в поле Значение укажите Bearer <token>. - В раскрывающемся списке Тип контента выберите application/json.
- В поле Наименование введите название команды:
- Сохраните команду и закройте окно.
Команда коннектора настроена. При выполнении этой команды в Security Vision IRP будет закрыт инцидент, а в KUMA будет закрыт соответствующий ему алерт.
Создание команд в Security Vision IRP
После настройки коннектора Security Vision IRP алерты KUMA будут поступать в платформу в виде инцидентов Security Vision IRP. Далее необходимо настроить обработку инцидентов в Security Vision IRP в соответствии с существующей в вашей организации политикой безопасности.
В начало