Интеграция с другими решениями

В этом разделе описано, как интегрировать KUMA с другими приложениями для расширения возможностей программы.

Интеграция с Kaspersky Security Center

Вы можете настроить интеграцию с выбранными серверами Kaspersky Security Center для одного, нескольких или всех тенантов KUMA. Если интеграция с Kaspersky Security Center включена, вы можете импортировать информацию об активах, защищаемых этой программой, управлять активами с помощью задач, а также импортировать события из базы событий Kaspersky Security Center.

Предварительно вам требуется убедиться, что на требуемом сервере Kaspersky Security Center разрешено входящее соединение для сервера с KUMA.

Настройка интеграции KUMA с Kaspersky Security Center включает следующие этапы:

1. Создание в Консоли администрирования Kaspersky Security Center учетной записи пользователя

   Данные этой учетной записи используются при создании секрета для установки соединения с Kaspersky Security Center.

   Секрет (учетная роль в Kaspersky Security Center) для интеграции KUMA с Kaspersky Security Center следует создавать с учетом специфики иерархии Сервера Администрирования (наличие виртуальных серверов, особенности администрирования сервера и т.д.), типов устройств, которыми будет управлять Сервер Администрирования (ОС, тип: сервера, мобильные устройства и т.д.). Все эти нюансы регулируются и настраиваются на стороне Kaspersky Security Center.

   Список действий, которые можно совершать в KUMA над активами из Kaspersky Security Center:

   • Запуск задачи типа Обновление.
   • Запуск задачи типа Поиск вирусов.
   • Перемещение активов по группам Kaspersky Security Center.
   • Принятие обновлений ПО (для устранения уязвимости на активе в Kaspersky Security Center).

   Чтобы иметь возможность осуществить вышеперечисленные действия, можно использовать предустановленную учетную запись в Kaspersky Security Center с ролью Главный администратор. В таком случае не нужно будет добавлять вручную дополнительные разрешения.

   Также вы можете использовать предустановленную роль в Kaspersky Security Center - "Администратор Kaspersky Endpoint Security", при этом необходимо дополнительно проставить доступ к следующим функциям:

   1. Управление группами администрирования.
   2. Системное администрирование.

      Могут понадобиться какие-то дополнительные разрешения, исходя из конфигурации Kaspersky Security Center.

   Минимальные разрешения для интеграции с Kaspersky Security Center:

   - Access objects regardless of their ACLs — позволяет импортировать активы Kaspersky Security Center в KUMA.

   - Management of administration groups — позволяет перемещать активы между группами в Kaspersky Security Center из интерфейса KUMA.

   - Basic functionality — позволяет создавать и запускать задачи на хостах под управлением Kaspersky Endpoint Security.

   Подробнее о создании учетной записи и назначении прав пользователю см. в справке Kaspersky Security Center.

2. Создание секрета с типом credentials для соединения с Kaspersky Security Center
3. Настройка параметров интеграции с Kaspersky Security Center
4. Создание подключения к серверу Kaspersky Security Center для импорта информации об активах

   Если вы хотите импортировать в KUMA информацию об активах, зарегистрированных на серверах Kaspersky Security Center, вам требуется создать отдельное подключение к каждому серверу Kaspersky Security Center для каждого выбранного тенанта.

   Если для тенанта выключена интеграция или отсутствует подключение к Kaspersky Security Center, при попытке импорта информации об активах в веб-интерфейсе KUMA отобразится ошибка. Процесс импорта при этом не запускается.

Настройка параметров интеграции с Kaspersky Security Center

Чтобы настроить параметры интеграции с Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Включите или выключите интеграцию с Kaspersky Security Center для тенанта:
   • Если вы хотите включить интеграцию, снимите флажок Выключено.
   • Если вы хотите выключить интеграцию, установите флажок Выключено.

   По умолчанию флажок снят.

4. Укажите интервалы для автоматического импорта информации об активах и уязвимостях активов из Kaspersky Security Center, выполнив следующие действия:
   1. В поле KSC активы, информация об оборудовании введите интервал в часах для автоматического импорта информации об основных атрибутах активов (состоянии защиты, версии антивирусных баз, оборудовании). Вы можете указать только целое число. Значение по умолчанию – 1 (1 час).
   2. В поле Атрибуты активов KSC (уязвимости, программное обеспечение, владельцы) введите интервал в часах для автоматического импорта информации об остальных атрибутах активов (уязвимостях, программном обеспечении, владельцах). Вы можете указать только целое число. Значение по умолчанию – 12 (12 часов).

      Поскольку во время импорта информации об атрибутах активов (уязвимостях, программном обеспечении, владельцах) может загружаться большое количество данных и для его выполнения требуется более длительное время, рекомендуется задавать для него больший интервал, чем для импорта информации об оборудовании.

   При необходимости вы можете вручную импортировать информацию об активах и уязвимостях активов из Kaspersky Security Center.

5. Нажмите на кнопку Сохранить.

Параметры интеграции с Kaspersky Security Center для выбранного тенанта будут настроены.

Если в списке тенантов отсутствует требуемый тенант, вам нужно добавить тенант в список тенантов.

Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center

Чтобы добавить тенант в список тенантов для интеграции с Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Нажмите на кнопку Добавить тенант.

   Откроется окно Интеграция с Kaspersky Security Center.

3. В раскрывающемся списке Тенант выберите тенант, который вам требуется добавить.
4. Нажмите на кнопку Сохранить.

Выбранный тенант будет добавлен в список тенантов для интеграции с Kaspersky Security Center.

Создание подключения к Kaspersky Security Center

Чтобы создать подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите создать подключение к Kaspersky Security Center.
3. Нажмите на кнопку Добавить подключение и укажите значения для следующих параметров:
   • Название (обязательно) – имя подключения. Имя может включать от 1 до 128 символов в кодировке Unicode.
   • URL (обязательно) – URL сервера Kaspersky Security Center в формате hostname:port или IPv4:port.
   • В раскрывающемся списке Секрет выберите секрет с учетными данными Kaspersky Security Center или создайте новый секрет.
     1. Нажмите на значок плюса ().

        Откроется окно секрета.

     2. Введите данные секрета:
        1. В поле Название выберите имя для добавляемого секрета.
        2. В раскрывающемся списке Тенант выберите тенант, которому будут принадлежать учетные данные Kaspersky Security Center.
        3. В раскрывающемся списке Тип выберите credentials.
        4. В полях Пользователь и Пароль введите учетные данные вашего сервера Kaspersky Security Center.
        5. В поле Описание можно добавить описание секрета.
     3. Нажмите Сохранить.

     Выбранный секрет можно изменить, нажав на кнопку .

   • Выключено – состояние подключения к выбранному серверу Kaspersky Security Center. Если флажок установлен, подключение к выбранному серверу неактивно. В этом случае вы не можете использовать это подключение для соединения с сервером Kaspersky Security Center.

     По умолчанию флажок снят.

4. Если вы хотите, чтобы программа KUMA импортировала только активы, которые подключены к подчиненным серверам или включены в группы:
   1. Нажмите на кнопку Загрузить иерархию.
   2. Установите флажки рядом с именами подчиненных серверов и групп, из которых вы хотите импортировать информацию об активах.
   3. Если вы хотите импортировать активы только из новых групп, установите флажок Импортировать активы из новых групп.

   Если ни один флажок не установлен, при импорте выгружается информация обо всех активах выбранного сервера Kaspersky Security Center.

5. Нажмите на кнопку Сохранить.

Подключение к серверу Kaspersky Security Center будет создано. Его можно использовать для импорта информации об активах из Kaspersky Security Center в KUMA и для создания задач, связанных с активами, в Kaspersky Security Center из KUMA.

Изменение подключения к Kaspersky Security Center

Чтобы изменить подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Нажмите на подключение с Kaspersky Security Center, которое вы хотите изменить.

   Откроется окно с параметрами выбранного подключения к Kaspersky Security Center.

4. Измените значения необходимых параметров.
5. Нажмите на кнопку Сохранить.

Подключение к Kaspersky Security Center будет изменено.

Удаление подключения к Kaspersky Security Center

Чтобы удалить подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Выберите подключение Kaspersky Security Center, которое вы хотите удалить.
4. Нажмите на кнопку Удалить.

Подключение к Kaspersky Security Center будет удалено.

Импорт событий из базы Kaspersky Security Center

В KUMA можно получать события из SQL-базы Kaspersky Security Center. Получение событий производится с помощью коллектора, в котором используются следующие ресурсы:

• Предустановленный коннектор [OOTB] KSC MSSQL, [OOTB] KSC MySQL или [OOTB] KSC PostgreSQL.
• Предустановленный нормализатор [OOTB] KSC from SQL.

Настройка импорта событий из Kaspersky Security Center состоит из следующих шагов:

1. Создание копии предустановленного коннектора.

   Параметры предустановленного коннектора недоступны для редактирования, поэтому для настройки параметров подключения к серверу базы данных требуется создать копию предустановленного коннектора.

2. Создание коллектора:
   • В веб-интерфейсе.
   • На сервере.

Чтобы настроить импорт событий из Kaspersky Security Center:

1. Создайте копию предустановленного коннектора, соответствующего типу базы данных Kaspersky Security Center:
   1. В веб-интерфейсе KUMA в разделе Ресурсы → Коннекторы найдите в структуре папок нужный предустановленный коннектор, установите флажок рядом с этим коннектором и нажмите Дублировать.
   2. В открывшемся окне Создание коннектора на вкладке Основные параметры в поле Запрос по умолчанию при необходимости замените имя базы данных KAV на имя используемой вами базы данных Kaspersky Security Center.

      Пример запроса к SQL-базе Kaspersky Security Center

      SELECT ev.event_id AS externalId, ev.severity AS severity, ev.task_display_name AS taskDisplayName,

              ev.product_name AS product_name, ev.product_version AS product_version,

               ev.event_type As deviceEventClassId, ev.event_type_display_name As event_subcode, ev.descr As msg,

      CASE

              WHEN ev.rise_time is not NULL THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.rise_time )

                  ELSE ev.rise_time

              END

          AS endTime,

          CASE

              WHEN ev.registration_time is not NULL

                  THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.registration_time )

                  ELSE ev.registration_time

              END

          AS kscRegistrationTime,

          cast(ev.par7 as varchar(4000)) as sourceUserName,

          hs.wstrWinName as dHost,

          hs.wstrWinDomain as strNtDom, serv.wstrWinName As kscName,

              CAST(hs.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

          CAST(hs.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

          CAST(hs.nIp / 256 % 256 AS VARCHAR) + '.' +

          CAST(hs.nIp % 256 AS VARCHAR) AS sourceAddress,

          serv.wstrWinDomain as kscNtDomain,

              CAST(serv.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

          CAST(serv.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

          CAST(serv.nIp / 256 % 256 AS VARCHAR) + '.' +

          CAST(serv.nIp % 256 AS VARCHAR) AS kscIP,

          CASE

          WHEN virus.tmVirusFoundTime is not NULL

                  THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),virus.tmVirusFoundTime )

                  ELSE ev.registration_time

              END

          AS virusTime,

          virus.wstrObject As filePath,

          virus.wstrVirusName as virusName,

          virus.result_ev as result

      FROM KAV.dbo.ev_event as ev

      LEFT JOIN KAV.dbo.v_akpub_host as hs ON ev.nHostId = hs.nId

      INNER JOIN KAV.dbo.v_akpub_host As serv ON serv.nId = 1

      Left Join KAV.dbo.rpt_viract_index as Virus on ev.event_id = virus.nEventVirus

      where registration_time >= DATEADD(minute, -191, GetDate())

   3. Установите курсор в поле URL и в раскрывшемся списке в строке используемого секрета нажмите на значок .
   4. В открывшемся окне Секрет в поле URL укажите адрес для подключения к серверу в следующем формате:

      sqlserver://user:password@kscdb.example.com:1433/database

      где:

      • user – учетная запись с правами public и db_datareader к нужной базе данных;
      • password – пароль учетной записи;
      • kscdb.example.com:1433 – адрес и порт сервера базы данных;
      • database – название базы данных Kaspersky Security Center. По умолчанию – KAV.

      Нажмите Сохранить.

   5. В окне Создание коннектора в разделе Подключение в поле Запрос при необходимости замените имя базы данных KAV на имя используемой вами базы данных Kaspersky Security Center.

      Это действие нужно выполнять, если вы планируете использовать столбец идентификатора, к которому относится запрос.

      Нажмите Сохранить.

2. Установите коллектор в веб-интерфейсе:
   1. Запустите мастер установки коллектора одним из следующих способов:
      • В веб-интерфейсе KUMA в разделе Ресурсы нажмите Подключить источник.
      • В веб-интерфейсе KUMA в разделе Ресурсы → Коллекторы нажмите Добавить коллектор.
   2. На шаге 1 Подключение источников в мастере установки укажите название коллектора и выберите тенант.
   3. На шаге 2 Транспорт в мастере установки выберите созданную на шаге 1 копию коннектора.
   4. На шаге 3 Парсинг событий в мастере установки на вкладке Схемы парсинга нажмите Добавить парсинг событий.
   5. В открывшемся окне Основной парсинг событий на вкладке Схема нормализации в раскрывающемся списке Нормализатор выберите [OOTB] KSC from SQL и нажмите OK.
   6. При необходимости укажите остальные параметры в соответствии с вашими требованиями к коллектору. Для импорта событий настройка параметров на остальных шагах мастера установки не обязательна.
   7. На шаге 8 Проверка параметров в мастере установки нажмите Сохранить и создать сервис.

      В нижней части окна отобразится команда, которая понадобится для установки коллектора на сервере. Скопируйте эту команду.

   8. Закройте мастер установки коллектора, нажав Сохранить коллектор.
3. Установите коллектор на сервере.

   Для этого на сервере, предназначенном для получения событий Kaspersky Security Center, выполните команду, скопированную после создания коллектора в веб-интерфейсе.

В результате коллектор будет установлен и сможет принимать события из SQL-базы Kaspersky Security Center.

Вы можете просмотреть события Kaspersky Security Center в разделе веб-интерфейса События.

Интеграция с Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Detection and Response (далее также KEDR) – функциональный блок программы Kaspersky Anti Targeted Attack Platform, обеспечивающий защиту активов локальной сети организации.

Вы можете настроить интеграцию KUMA с Kaspersky Endpoint Detection and Response 4.0 и выше, чтобы управлять действиями по реагированию на угрозы на активах, подключенных к серверам Kaspersky Endpoint Detection and Response, и активах Kaspersky Security Center. Команды на выполнение операций поступают на сервер Kaspersky Endpoint Detection and Response, после чего она передает их программе Kaspersky Endpoint Agent, установленной на активах.

Для управления действиями по реагированию Kaspersky Endpoint Detection and Response на активах Kaspersky Security Center требуется, чтобы для актива в системе (поле Full device name) было указано полное доменное имя (FQDN). В противном случае запуск действий по реагированию недоступен.

Также вы можете импортировать события в KUMA и получать информацию об обнаружениях Kaspersky Endpoint Detection and Response (подробнее о получении информации об обнаружениях см. в разделе Настройка интеграции с SIEM-системой в справке Kaspersky Anti Targeted Attack Platform).

При интеграции KUMA с Kaspersky Endpoint Detection and Response вы можете выполнять следующие операции на активах Kaspersky Endpoint Detection and Response с Kaspersky Endpoint Agent:

• Управлять сетевой изоляцией активов.
• Управлять правилами запрета.
• Запускать программы.

За инструкцией по настройке интеграции для управления действиями по реагированию вам требуется обратиться к вашему аккаунт-менеджеру или в службу технической поддержки.

Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kafka

При импорте событий из Kaspersky Endpoint Detection and Response телеметрия передается открытым текстом и может быть перехвачена злоумышленником.

Вы можете импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.0, 4.1, 5.0 и 5.1 с помощью коннектора Kafka.

При импорте событий из Kaspersky Endpoint Detection and Response 4.0 и 4.1 действует ряд ограничений:

• Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
• Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.

Для импорта событий вам потребуется выполнить действия на стороне Kaspersky Endpoint Detection and Response и на стороне KUMA.

Импорт событий Kaspersky Endpoint Detection and Response 4.0 или 4.1

Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 4.0 или 4.1, выполните следующие действия:

На стороне Kaspersky Endpoint Detection and Response:

1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.

   Отобразится меню администратора компонента программы.

3. В меню администратора компонента программы выберите режим Technical Support Mode.
4. Нажмите на клавишу Enter.

   Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. Выполните команду:

   sudo -i

7. В конфигурационном файле /etc/sysconfig/apt-services в поле KAFKA_PORTS удалите значение 10000.

   Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000.

   Мы не рекомендуем использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду:

   iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP

8. В конфигурационном файле /usr/bin/apt-start-sedr-iptables в поле WEB_PORTS добавьте значение 10000 через запятую без пробела.
9. Выполните команду:

   sudo sh /usr/bin/apt-start-sedr-iptables

Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.

На стороне KUMA:

1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> centralnode в один из следующих файлов:
   • %WINDIR%\System32\drivers\etc\hosts – для Windows.
   • /etc/hosts file – для Linux.
2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.

   При создании коннектора укажите следующие параметры:

   • В поле URL укажите <IP-адрес сервера Central Node>:10000.
   • В поле Topic укажите EndpointEnrichedEventsTopic.
   • В поле Consumer group укажите любое уникальное имя.
3. В веб-интерфейсе KUMA создайте коллектор.

   В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора используйте [OOTB] KEDR telemetry.

При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.

Импорт событий Kaspersky Endpoint Detection and Response 5.0 и 5.1

При импорте событий из Kaspersky Endpoint Detection and Response 5.0 и 5.1 действует ряд ограничений:

• Импорт событий доступен только для неотказоустойчивой версии Kaspersky Endpoint Detection and Response.
• Импорт событий доступен, если в программе Kaspersky Endpoint Detection and Response используются лицензионные ключи KATA и KEDR.
• Импорт событий не доступен, если в составе программы Kaspersky Endpoint Detection and Response используется компонент Sensor, установленный на отдельном сервере.

Чтобы импортировать в KUMA события Kaspersky Endpoint Detection and Response 5.0 или 5.1, выполните следующие действия:

На стороне Kaspersky Endpoint Detection and Response:

1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.

   Отобразится меню администратора компонента программы.

3. В меню администратора компонента программы выберите режим Technical Support Mode.
4. Нажмите на клавишу Enter.

   Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. В конфигурационном файле /usr/local/lib/python3.8/dist-packages/firewall/create_iptables_rules.py укажите дополнительный порт 10000 для константы WEB_PORTS:

   WEB_PORTS = f'10000,80,{AppPort.APT_AGENT_PORT},{AppPort.APT_GUI_PORT}'

   Для версии Kaspersky Endpoint Detection and Response 5.1 этот шаг выполнять не нужно, порт указан по умолчанию.

7. Выполните команды:

   kata-firewall stop

   kata-firewall start --cluster-subnet <маска сети для адресации серверов кластера>

Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.

На стороне KUMA:

1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> kafka.services.external.dyn.kata в один из следующих файлов:
   • %WINDIR%\System32\drivers\etc\hosts – для Windows.
   • /etc/hosts file – для Linux.
2. В веб-интерфейсе KUMA создайте коннектор типа Kafka.

   При создании коннектора укажите следующие параметры:

   • В поле URL укажите <IP-адрес сервера Central Node>:10000.
   • В поле Topic укажите EndpointEnrichedEventsTopic.
   • В поле Consumer group укажите любое уникальное имя.
3. В веб-интерфейсе KUMA создайте коллектор.

   В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге. В качестве нормализатора для коллектора рекомендуется использовать нормализатор [OOTB] KEDR telemetry.

При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.

Импорт событий Kaspersky Endpoint Detection and Response с помощью коннектора kata/edr

Чтобы импортировать события Kaspersky Endpoint Detection and Response версии 5.1 и старше с хостов с помощью коннектора kata/edr:

1. Выполните настройку на стороне KUMA для получения событий. Для этого создайте и установите в KUMA коллектор с коннектором kata/edr или внесите изменения в существующий коллектор, а затем сохраните измененные параметры и перезапустите коллектор.
2. На стороне КEDR примите запрос авторизации от KUMA, чтобы события начали поступать в KUMA.

В результате интеграция будет настроена, и события KEDR будут поступать в KUMA.

Создание коллектора для получения событий из KEDR

Чтобы создать коллектор для получения событий из KEDR:

1. В KUMA → Ресурсы → Коллекторы выберите Добавить коллектор.
2. В открывшемся окне Создание коллектора на шаге 1 Подключение источников укажите произвольное Название коллектора и выберите в раскрывающемся списке подходящий Тенант.
3. На шаге 2 Транспорт выполните следующие действия:
   1. На вкладке Основные параметры:
      1. В поле Коннектор выберите Создать или в этом же поле начните набирать название коннектора, если хотите использовать уже созданный коннектор.
      2. В раскрывающемся списке Тип коннектора выберите коннектор kata/edr. После того как вы выберите тип коннектора kata/edr, появятся дополнительные поля для заполнения.
      3. В поле URL укажите адрес подключения к серверу KEDR в формате <имя хоста или IP-адрес хоста>:<порт подключения, по умолчанию 443>. Если решение KEDR развернуто в кластере, с помощью кнопки Добавить вы можете добавить все узлы. KUMA будет подключаться последовательно к каждому указанному узлу. Если решение КEDR установлено в распределенной конфигурации, на стороне KUMA необходимо настроить отдельный коллектор для каждого сервера KEDR.
      4. В поле Секрет выберите Создать, чтобы создать новый секрет. В открывшемся окне Создание секрета укажите Название и нажмите Сгенерировать и скачать сертификат и закрытый ключ шифрования соединения.

         В результате в папку загрузок браузера, например Загрузки, будет скачан архив certificate.zip, который содержит файл ключа key.pem и файл сертификата cert.pem. Распакуйте архив. Нажмите Загрузить сертификат и выберите cert.pem. Нажмите Загрузить закрытый ключ и выберите key.pem. Нажмите Создать, после этого секрет будет добавлен в раскрывающийся список Секрет и будет автоматически выбран.

         Также вы можете выбрать из списка Секрет созданный секрет, с этим секретом KUMA будет подключаться к KEDR.

      5. Поле Внешний ID содержит идентификатор для внешних систем. Этот идентификатор отображается в веб-интерфейсе KEDR при авторизации сервера KUMA. KUMA генерирует идентификатор автоматически и поле Внешний ID будет автоматически предзаполнено.
   2. На вкладке Дополнительные параметры:
      1. Чтобы получать детализированную информацию в журнале коллектора, переведите переключатель Отладка в активное положение.
      2. При необходимости в поле Кодировка символов выберите кодировку исходных данных, к которым будет применена конвертация в UTF-8. Мы рекомендуем применять конвертацию только в том случае, если в полях нормализованного события отображаются недопустимые символы. По умолчанию значение не выбрано.
      3. Укажите Максимальное количество событий в одном запросе к KEDR. По умолчанию указано значение 0 - это означает, что KUMA использует значение, заданное на сервере KEDR. Подробнее см. в Справке KATA. Вы можете указать произвольное значение, не превышающее значение на стороне KEDR. Если указанное вами значение превысит значение параметра Максимальное количество событий, заданное на сервере KEDR, в журнале коллектора KUMA будет ошибка "Bad Request: max_events N is greater than allowed value".
      4. Заполните поле Время ожидания получения событий, чтобы получать события через заданный промежуток времени. По умолчанию указано значение 0. Это означает, что применяется значение, заданное по умолчанию на сервере KEDR. Подробнее см. в Справке KATA. В этом поле указано время, по истечении которого сервер KEDR передаст KUMA события. На сервере KEDR действует два параметра: максимальное количество событий и время ожидания получения событий, передача событий происходит в зависимости от того, что произойдет раньше - будет собрано заданное количество событий или истечет заданное время. Если заданное время истекло, а заданного количества событий не набралось, сервер KEDR передаст те, что есть.
      5. В поле Время ожидания ответа укажите максимальное значение ожидания ответа от сервера KEDR в секундах. Значение по умолчанию: 1800 сек, отображается как 0. В поле Время ожидания ответа указано клиентское ограничение. Значение параметра Время ожидания ответа должно быть больше, чем серверное Время ожидания получения событий, чтобы не прервать текущую задачу сбора событий новым запросом и дождаться ответа сервера. Если ответ от сервера KEDR все же не поступил, KUMA повторит запрос.
      6. В поле Фильтр KEDRQL укажите условия фильтрации запроса. В результате со стороны KEDR будут поступать уже отфильтрованные события. Подробнее о доступных полях для фильтрации см. в Справке KATA.
4. На шаге 3 Парсинг нажмите Добавить парсинг событий и в открывшемся окне Основной парсинг событий выберите в раскрывающемся списке нормализатор [ООТВ] KEDR telemetry.
5. Чтобы завершить создание коллектора в веб-интерфейсе, нажмите Сохранить и создать сервис. Затем скопируйте в веб-интерфейсе команду установки коллектора и выполните команду установки в интерпретаторе командной строки на сервере, где вы хотите установить коллектор.

   Если вы вносили изменения в существующий коллектор, нажмите Сохранить и перезапустить сервисы.

В результате коллектор создан и готов к отправке запросов, при этом коллектор будет отображаться в разделе Ресурсы → Активные сервисы в желтом статусе, пока на стороне КEDR не будет принят запрос авторизации от KUMA.

Авторизация KUMA на стороне KEDR

После того, как в KUMA создан коллектор, на стороне KEDR необходимо принять запрос авторизации KUMA, чтобы запросы от KUMA начали поступать в KEDR. После принятой авторизации коллектор KUMA автоматически по расписанию отправляет запрос в KEDR и ждет ответа. Все время ожидания статус коллектора будет желтый, а после получения первого ответа на отправленный запрос статус коллектора сменится на зеленый.

В результате интеграция настроена и вы можете просмотреть поступающие из KEDR события в разделе KUMA → События.

При первом запросе поступит часть исторических событий, которые произошли до момента интеграции. Когда все исторические события поступят, начнут поступать текущие события. Если вы измените значение параметра URL или Внешний ID для существующего коллектора, KEDR примет запрос как новый и после запуска коллектора KUMA с измененными параметрами вы снова получите часть исторических событий. Если вы не хотите получать исторические события, перейдите в параметры настройки нужного коллектора, настройте в нормализаторе сопоставление полей timestamp KEDR и KUMA и на шаге мастера установки коллектора Фильтрация событий укажите фильтр по timestamp так, чтобы значение timestamp событий было больше, чем значение timestamp запуска коллектора.

Возможные ошибки и способы решения

Если в журнале коллектора ошибка "Conflict: An external system with the following ip and certificate digest already exists. Either delete it or provide a new certificate", необходимо создать новый секрет с новым сертификатом в коннекторе коллектора.

Если в журнале коллектора возникает ошибка "Continuation token not found" в ответ на запрос событий, нужно создать новый коннектор, прикрепить его к коллектору и перезапустить коллектор, или создать новый секрет с новым сертификатом в коннекторе коллектора. Если нет необходимости получать события, которые были сформированы до возникновения ошибки, следует настроить в коллекторе фильтр по Timestamp.

Настройка отображения ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации о событии KUMA

При получении обнаружений Kaspersky Endpoint Detection and Response в KUMA создается алерт для каждого обнаружения. Вы можете настроить отображение ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации об алерте KUMA.

Вы можете настроить отображение ссылки на обнаружение, если используете только один сервер Central Node Kaspersky Endpoint Detection and Response. Если Kaspersky Endpoint Detection and Response используется в режиме распределенного решения, настроить отображение ссылок в KUMA на обнаружения Kaspersky Endpoint Detection and Response невозможно.

Для настройки отображения ссылки на обнаружение в информации об алерте KUMA вам требуется выполнить действия в веб-интерфейсе Kaspersky Endpoint Detection and Response и KUMA.

В веб-интерфейсе Kaspersky Endpoint Detection and Response вам нужно настроить интеграцию программы с KUMA в качестве SIEM-системы. Подробнее о том, как настроить интеграцию, см. в справке Kaspersky Anti Targeted Attack Platform в разделе Настройка интеграции с SIEM-системой.

Настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

1. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории.
2. Создание правила корреляции.
3. Создание коррелятора.

Вы можете использовать преднастроенное корреляционное правило. В этом случае настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

1. Создание коррелятора.

   В качестве правила корреляции вам нужно выбрать правило [OOTB] KATA Alert.

2. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории КАТА standAlone.

Шаг 1. Добавление актива и назначение ему категории

Предварительно вам нужно создать категорию, которая будет назначена добавляемому активу.

Чтобы добавить категорию:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. На вкладке Все активы разверните список категорий тенанта, нажав на кнопку рядом с его названием.
3. Выберите требуемую категорию или подкатегорию и нажмите на кнопку Добавить категорию.

   В правой части окна веб-интерфейса отобразится область деталей Добавить категорию.

4. Укажите параметры категории:
   1. В поле Название введите название категории.
   2. В поле Родительская категория укажите место категории в дереве категорий. Для этого нажмите на кнопку и выберите родительскую категорию для создаваемой вами категории.

      Выбранная категория отобразится в поле Родительская категория.

   3. При необходимости укажите значения для следующих параметров:
      • Назначьте уровень важности категории в раскрывающемся списке Уровень важности.

        Указанный уровень важности присваивается корреляционным событиям и алертам, связанным с этим активом.

      • При необходимости в поле Описание добавьте описание категории.
      • В раскрывающемся списке Способ категоризации выберите, как категория будет пополняться активами. В зависимости от выбора может потребоваться указать дополнительные параметры:
        • Вручную – активы можно привязать к категории только вручную.
        • Активно – активы будут с определенной периодичностью привязываться к категории, если удовлетворяют заданному фильтру.
          1. В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.

             Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.

          2. В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.

             Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять с помощью кнопок Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.

             Операнды и операторы фильтра категоризации

             Операнд	Операторы	Комментарий
             Номер сборки	>, >=, =, <=, <
             ОС	=, like	Оператор like обеспечивает регистронезависимый поиск.
             IP-адрес	inSubnet, inRange	IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24). При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.
             Полное доменной имя	=, like	Оператор like обеспечивает регистронезависимый поиск.
             CVE	=, in	Оператор in позволяет указать массив значений.
             ПО	=, like
             КИИ	in	Можно выбрать более одного значения.
             Последнее обновление антивирусных баз	>=,<=
             Последнее обновление информации	>=,<=
             Последнее обновление защиты	>=,<=
             Время начала последней сессии	>=,<=
             Расширенный статус KSC	in	Расширенный статус устройства. Можно выбрать более одного значения.
             Статус постоянной защиты	=	Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.
             Статус шифрования	=
             Статус защиты от спама	=
             Статус антивирусной защиты почтовых серверов	=
             Статус защиты данных от утечек	=
             Идентификатор расширенного статуса KSC	=
             Статус Endpoint Sensor	=
             Последнее появление в сети	>=,<=

          3. С помощью кнопки Проверить условия убедитесь, что указанный фильтр верен: при нажатии на кнопку отображается окно Активы, найденные по заданным условиям с перечнем активов, удовлетворяющих условиям поиска.
        • Реактивно – категория будет наполняться активами с помощью правил корреляции.
5. Нажмите на кнопку Сохранить.

Чтобы добавить актив:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. Нажмите на кнопку Добавить актив.

   В правой части окна откроется область деталей Добавить актив.

3. Укажите следующие параметры актива:
   1. В поле Название актива введите имя актива.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать актив.
   3. В поле IP-адрес укажите IP-адрес сервера Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения.
   4. В поле Категории выберите категорию, которую добавили на предыдущем этапе.

      Если вы используете предустановленное корреляционное правило, вам нужно выбрать категорию КАТА standAlone.

   5. При необходимости укажите значения для следующих полей:
      • В поле Полное доменное имя укажите FQDN сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле MAC-адрес укажите MAC-адрес сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле Владелец укажите имя владельца актива.
4. Нажмите на кнопку Сохранить.

Шаг 2. Добавление правила корреляции

Чтобы добавить правило корреляции:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Правила корреляции и нажмите на кнопку Создать правило корреляции.
3. На вкладке Общие укажите следующие параметры:
   1. В поле Название укажите название правила.
   2. В раскрывающемся списке Тип выберите simple.
   3. В поле Наследуемые поля добавьте следующие поля: DeviceProduct, DeviceAddress, EventOutcome, SourceAssetID, DeviceAssetID.
   4. При необходимости укажите значения для следующих полей:
      • В поле Частота срабатывания укажите максимальное количество срабатываний правила в секунду.
      • В поле Уровень важности укажите уровень важности алертов и корреляционных событий, которые будут созданы в результате срабатывания правила.
      • В поле Описание укажите любую дополнительную информацию.
4. На вкладке Селекторы → Параметры укажите следующие параметры:
   1. В раскрывающемся списке Фильтр выберите Создать.
   2. В поле Условия нажмите на кнопку Добавить группу.
   3. В поле с оператором для добавленной группы выберите И.
   4. Добавьте условие для фильтрации по значению KATA:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceProduct.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите KATA.
   5. Добавьте условие для фильтрации по категории:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceAssetID.
      5. В поле оператор выберите inCategory.
      6. В поле Правый операнд выберите константа.
      7. Нажмите на кнопку .
      8. Выберите категорию, в которую вы поместили актив сервера Central Node Kaspersky Endpoint Detection and Response.
      9. Нажмите на кнопку Сохранить.
   6. В поле Условия нажмите на кнопку Добавить группу.
   7. В поле с оператором для добавленной группы выберите ИЛИ.
   8. Добавьте условие для фильтрации по идентификатору класса события:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceEventClassID.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите taaScanning.
   9. Повторите шаги 1–7 пункта f для каждого из следующих идентификаторов классов событий:
      • file_web.
      • file_mail.
      • file_endpoint.
      • file_external.
      • ids.
      • url_web.
      • url_mail.
      • dns.
      • iocScanningEP.
      • yaraScanningEP.
5. На вкладке Действия укажите следующие параметры:
   1. В разделе Действия откройте раскрывающийся список На каждом событии.
   2. Установите флажок Отправить на дальнейшую обработку.
   3. В разделе Обогащение нажмите на кнопку Добавить обогащение.
   4. В раскрывающемся списке Тип источника данных выберите шаблон.
   5. В поле Шаблон введите https://{{.DeviceAddress}}:8443/katap/#/alerts?id={{.EventOutcome}}.
   6. В раскрывающемся списке Целевое поле выберите DeviceExternalID.
   7. При необходимости переведите переключатель Отладка в активное положение, чтобы зарегистрировать информацию, связанную с работой ресурса, в журнал.
6. Нажмите на кнопку Сохранить.

Шаг 3. Создание коррелятора

Вам нужно запустить мастер установки коррелятора. На шаге 3 мастера вам требуется выбрать правило корреляции, добавленное при выполнении этой инструкции.

После завершения создания коррелятора в информации об алертах, созданных при получении обнаружений из Kaspersky Endpoint Detection and Response, будет отображаться ссылка на эти обнаружения. Ссылка отображается в информации о корреляционном событии (раздел Связанные события), в поле DeviceExternalID.

Если вы хотите, чтобы в поле DeviceHostName в информации об обнаружении отображался FQDN сервера Central Node Kaspersky Endpoint Detection and Response, вам нужно создать запись для этого сервера в системе DNS и на шаге 4 мастера создать правило обогащения с помощью DNS.

Интеграция с Kaspersky CyberTrace

Kaspersky CyberTrace (далее CyberTrace) – это инструмент, который объединяет потоки данных об угрозах с решениями SIEM. Он обеспечивает пользователям мгновенный доступ к данным аналитики, повышая их осведомленность при принятии решений, связанных с безопасностью.

Вы можете интегрировать CyberTrace с KUMA одним из следующих способов:

• Интегрировать функцию поиска индикаторов CyberTrace для обогащения событий KUMA информацией потоков данных CyberTrace.
• Интегрировать в KUMA веб-интерфейс CyberTrace целиком, чтобы обеспечить полный доступ к CyberTrace.

  Интеграция с веб-интерфейсом CyberTrace доступна только для лицензии CyberTrace TIP Enterprise.

Интеграция поиска по индикаторам CyberTrace

Чтобы выполнить интеграцию поиска по индикаторам CyberTrace, следует выполнить следующие шаги:

1. Настроить CyberTrace для приема и обработки запросов от KUMA.

   Вы можете настроить интеграцию с KUMA сразу после установки CyberTrace в мастере первоначальной настройки или позднее в веб-интерфейсе CyberTrace.

2. Создать правила обогащения событий в KUMA.

   В правиле обогащения вы можете указать, какими данными из CyberTrace вы хотите дополнить событие. В качестве типа источника данных рекомендуется выбрать cybertrace-http.

3. Создать коллектор для получения событий, которые вы хотите обогатить данными из CyberTrace.
4. Привязать правило обогащения к коллектору.
5. Сохранить и создать сервис:
   • Если вы привязали правило к новому коллектору, нажмите Сохранить и создать, в открывшемся окне скопируйте идентификатор коллектора и используйте скопированный идентификатор для установки коллектора на сервере через интерфейс командной строки.
   • Если вы привязали правило к уже существующему коллектору, нажмите Сохранить и перезапустить сервисы, чтобы применить параметры.

   Настройка интеграции поиска по индикаторам CyberTrace завершена и события KUMA будут обогащаться данными из CyberTrace.

Пример проверки обогащения данными из CyberTrace.

Настройка CyberTrace для приема и обработки запросов

Вы можете настроить CyberTrace для приема и обработки запросов от KUMA сразу после установки в мастере первоначальной настройки или позднее в веб-интерфейсе программы.

Чтобы настроить CyberTrace для приема и обработки запросов в мастере первоначальной настройки:

1. Дождитесь запуска мастера первоначальной настройки CyberTrace после установки программы.

   Откроется шаг 1 Добро пожаловать в Kaspersky CyberTrace. Переход между шагами мастера осуществляется с помощью кнопки Далее.

2. На шаге 2 Настройка прокси-сервера, если в вашей организации используется прокси-сервер, укажите параметры соединения с ним. Если в вашей организации не используется прокси-сервер, оставьте все поля незаполненными.
3. На шаге 3 Настройка лицензирования выберите метод добавления лицензионного ключа для программы CyberTrace: с помощью кода активации или с помощью файла лицензионного ключа. В зависимости от выбранного метода укажите код активации или загрузите файл лицензионного ключа.
4. На шаге 4 Настройка сервиса оставьте значения по умолчанию.
5. На шаге 5 Настройка управления данными выполните следующие действия:
   1. В раскрывающемся списке SIEM-система выберите KUMA.
   2. В блоке параметров Прослушивать выберите вариант IP-адрес и порт.
   3. В поле IP-адрес укажите 0.0.0.0.
   4. В поле Порт укажите порт для получения событий. Порт по умолчанию 9999.
   5. В блоке параметров Отправлять оповещения об обнаружении индикаторов компрометации в поле IP-адрес укажите 127.0.0.1 и в поле Порт укажите 9998.

   Остальные значения оставьте по умолчанию.

6. На шаге 6 Настройка сертификата выберите опцию Коммерческий сертификат и добавьте сертификат, позволяющий скачивать с серверов обновлений потоки данных (data feeds).
7. На шаге 7 Настройка потоков данных оставьте значения по умолчанию.

CyberTrace настроен.

Чтобы настроить CyberTrace для приема и обработки запросов в веб-интерфейсе программы:

1. В окне веб-интерфейса программы CyberTrace перейдите в режим Управление данными: в левом меню выберите пункт Система, а затем в появившемся меню выберите пункт General.
2. Выберите раздел Настройка → Общие.
3. В блоке параметров Прослушивать выполните следующие действия:
   1. Выберите вариант IP-адрес и порт.
   2. В поле IP-адрес введите 0.0.0.0.
   3. В поле Порт укажите порт для приема событий. Порт по умолчанию 9999.
4. Выберите раздел Настройка → Служебные оповещения.
5. В поле Формат служебных оповещений введите %Date% alert=%Alert%%RecordContext%.
6. В поле Формат контекста записей введите |%ParamName%=%ParamValue%.
7. Выберите раздел Настройка → Оповещения об обнаружении индикаторов компрометации.
8. В поле Формат оповещения введите Category=%Category%|MatchedIndicator=%MatchedIndicator%%RecordContext%.
9. На вкладке Контекст в поле Поля контекста введите %ParamName%:%ParamValue%.
10. Перейдите в режим Управление системой: в левом меню выберите пункт General, а затем в появившемся меню выберите пункт Система.
11. Выберите раздел Настройка → Сервис.
12. В блоке параметров Веб-интерфейс в поле IP-адрес или имя хоста введите 127.0.0.1.
13. В верхней панели инструментов нажмите на кнопку Перезапустить сервис.
14. Перезапустите сервер CyberTrace.

CyberTrace настроен.

Создание правил обогащения событий

Чтобы создать правила обогащения событий:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Правила обогащения и в левой части окна выберите или создайте папку, в которую требуется поместить новое правило.

   Отобразится список доступных правил обогащения.

2. Нажмите на кнопку Добавить правило обогащения, чтобы создать новое правило.

   Откроется окно правила обогащения.

3. Укажите параметры правила обогащения:
   1. В поле Название введите уникальное имя правила. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   2. В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
   3. В раскрывающемся списке Тип источника данных выберите cybertrace-http.
   4. Укажите URL сервера CyberTrace, к которому вы хотите подключиться. Например, example.domain.com:9999.
   5. При необходимости укажите в поле Количество подключений максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
   6. В поле Запросов в секунду введите количество запросов к серверу CyberTrace, которое сможет выполнять KUMA в секунду. Значение по умолчанию: 1000.
   7. В поле Время ожидания укажите время в секундах, в течение которого KUMA должна ожидать ответа от сервера CyberTrace. Событие не будет отправлено в коррелятор, пока не истечет время ожидания или не будет получен ответ. Если ответ получен до истечения времени ожидания, он добавляется в поле события TI, и обработка события продолжается. Значение по умолчанию: 30.
   8. В блоке параметров Сопоставление требуется указать поля событий, которые следует отправить в CyberTrace на проверку, а также задать правила сопоставления полей событий KUMA с типами индикаторов CyberTrace:
      • В столбце Поле KUMA выберите поле, значение которого требуется отправить в CyberTrace.
      • В столбце Индикатор CyberTrace выберите тип индикатора CyberTrace для каждого выбранного поля:
        • ip
        • url
        • hash

      В таблице требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а удалить – с помощью кнопки .

   9. С помощью переключателя Отладка укажите, следует ли включить логирование операций сервиса. По умолчанию логирование выключено.
   10. При необходимости в поле Описание добавьте до 4000 символов в кодировке Unicode.
   11. В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться с применением правила обогащения. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

       Создание фильтра в ресурсах

       Чтобы создать фильтр:

       1. В раскрывающемся списке Фильтр выберите Создать.
       2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
       3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
       4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
          1. Нажмите на кнопку Добавить условие.
          2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
          3. В раскрывающемся списке оператор выберите оператор.

             Операторы фильтров

             • = – левый операнд равен правому операнду.
             • < – левый операнд меньше правого операнда.
             • <= – левый операнд меньше или равен правому операнду.
             • > – левый операнд больше правого операнда.
             • >= – левый операнд больше или равен правому операнду.
             • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
             • contains – левый операнд содержит значения правого операнда.
             • startsWith – левый операнд начинается с одного из значений правого операнда.
             • endsWith – левый операнд заканчивается одним из значений правого операнда.
             • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
             • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

               Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

               Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

             • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

               Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

             • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
             • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
             • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
             • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
             • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
             • inContextTable – присутствует ли в указанной контекстной таблице запись.
             • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
          4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
          5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

          Вы можете добавить несколько условий или группу условий.

       5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
       6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
4. Нажмите Сохранить.

Создано правило обогащения.

Интеграция поиска по индикаторам CyberTrace настроена. Созданное правило обогащения можно добавить к коллектору. Требуется перезапустить коллекторы KUMA, чтобы применить новые параметры.

Если какие-либо из полей CyberTrace в области деталей события содержат "[{" или "}]", это означает, что информация из потока данных об угрозах из CyberTrace была обработана некорректно и некоторые данные, возможно, не отображаются. Информацию из потока данных об угрозах можно получить, скопировав из события KUMA значение поля TI indicator событий и выполнив поиск по этому значению на портале CyberTrace в разделе Индикаторы. Вся информация о найденном индикаторе будет отображаться на странице Сведения об индикаторе.

Интеграция интерфейса CyberTrace

Вы можете интегрировать веб-интерфейс CyberTrace в веб-интерфейс KUMA. Когда эта интеграция включена, в веб-интерфейсе KUMA появляется раздел CyberTrace с доступом к веб-интерфейсу CyberTrace. Вы можете настроить интеграцию в разделе Параметры → Kaspersky CyberTrace веб-интерфейса KUMA.

Чтобы интегрировать веб-интерфейс CyberTrace в KUMA:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите на кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс используется для хранения учетных данных для подключения к серверу CyberTrace.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название выберите имя для добавляемого секрета. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   2. В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
   3. В раскрывающемся списке Тип выберите credentials.
   4. В полях Пользователь и Пароль введите учетные данные для вашего сервера CyberTrace.
   5. При необходимости в поле Описание добавьте до 4000 символов в кодировке Unicode.
4. Нажмите Сохранить.

   Учетные данные сервера CyberTrace сохранены и могут использоваться в других ресурсах KUMA.

5. Откройте раздел веб-интерфейс KUMA Параметры → Kaspersky CyberTrace.

   Откроется окно с параметрами интеграции CyberTrace.

6. Измените необходимые параметры:
   • Выключено – снимите этот флажок, если хотите включить интеграцию веб-интерфейса CyberTrace в веб-интерфейс KUMA.
   • Адрес сервера (обязательно) – введите адрес сервера CyberTrace.
   • Порт (обязательно) – введите порт сервера CyberTrace, порт для доступа к веб-интерфейсу по умолчанию 443.
7. В раскрывающемся списке Секрет выберите секрет, который вы создали ранее.
8. Вы можете настроить доступ к веб-интерфейсу CyberTrace следующими способами:
   • Использовать hostname или IP при входе в веб-интерфейс KUMA.

     Для этого в разделе Разрешить хосты нажмите Добавить хост и в появившемся поле укажите IP или hostname устройства,

     на котором развернут веб-интерфейс KUMA.

   • Использовать FQDN при входе в веб-интерфейс KUMA.

     Если для работы в веб-интерфейсе программы вы используете браузер Mozilla Firefox, данные в разделе CyberTrace могут не отображаться. В таком случае настройте отображение данных (см. ниже).

9. Нажмите Сохранить.

CyberTrace теперь интегрирован с KUMA: раздел CyberTrace отображается в веб-интерфейсе KUMA.

Чтобы настроить отображение данных в разделе CyberTrace при использовании FQDN для входа в KUMA в Mozilla Firefox:

1. Очистите кеш браузера.
2. В строке браузера введите FQDN веб-интерфейса KUMA с номером порта 7222: https://kuma.example.com:7222.

   Отобразится окно с предупреждением о вероятной угрозе безопасности.

3. Нажмите на кнопку Подробнее.
4. В нижней части окна нажмите на кнопку Принять риск и продолжить.

   Для URL-адреса веб-интерфейса KUMA будет создано исключение.

5. В строке браузера введите URL-адрес веб-интерфейса KUMA с номером порта 7220.
6. Перейдите в раздел CyberTrace.

Данные отобразятся в разделе.

Обновление списка запрещенных объектов CyberTrace (Internal TI)

Если веб-интерфейс CyberTrace интегрирован в веб-интерфейс KUMA, можно обновлять список запрещенных объектов CyberTrace или Internal TI данными из событий KUMA.

Чтобы обновить Internal TI в CyberTrace:

1. Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла.

   Откроется контекстное меню.

2. Выберите Добавить в Internal TI в CyberTrace.

   Откроется окно подтверждения.

3. Если вы хотите подтвердить свои действия и обновить Internal TI данными из событий KUMA, нажмите Да.

Выбранный объект добавлен в список запрещенных объектов в CyberTrace.

Интеграция с Kaspersky Threat Intelligence Portal

Портал Kaspersky Threat Intelligence Portal объединяет все знания Лаборатории Касперского о киберугрозах и их взаимосвязи в единую веб-службу. При интеграции с KUMA он помогает пользователям KUMA быстрее принимать обоснованные решения, предоставляя им данные о веб-адресах, доменах, IP-адресах, данных WHOIS / DNS.

Доступ к Kaspersky Threat Intelligence Portal предоставляется на платной основе. Лицензионные сертификаты создаются специалистами Лаборатории Касперского. Чтобы получить сертификат для Kaspersky Threat Intelligence Portal, обратитесь к вашему персональному техническому менеджеру Лаборатории Касперского.

Инициализация интеграции

Чтобы интегрировать Kaspersky Threat Intelligence Portal в KUMA:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите на кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс используется для хранения данных вашей учетной записи Kaspersky Threat Intelligence Portal.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название выберите имя для добавляемого секрета.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
   3. В раскрывающемся списке Тип выберите ktl.
   4. В полях Пользователь и Пароль введите данные своей учетной записи Kaspersky Threat Intelligence Portal.
   5. В поле Описание можно добавить описание секрета.
4. Загрузите ключ сертификата Kaspersky Threat Intelligence Portal:
   1. Нажмите Загрузить PFX и выберите PFX-файл с сертификатом.

      Имя выбранного файла отображается справа от кнопки Загрузить PFX.

   2. В поле Пароль PFX введите пароль для PFX-файла.
5. Нажмите Сохранить.

   Ваши учетные данные Kaspersky Threat Intelligence Portal сохранены и могут использоваться в других ресурсах KUMA.

6. В разделе Параметры веб-интерфейса KUMA откройте вкладку Kaspersky Threat Lookup.

   Отобразится список доступных подключений.

7. Убедитесь, что флажок Выключено снят.
8. В раскрывающемся списке Секрет выберите секрет, который вы создали ранее.

   Можно создать новый секрет, нажав на кнопку со значком плюса. Созданный секрет будет сохранен в разделе Ресурсы → Секреты.

9. При необходимости в раскрывающемся списке Прокси-сервер выберите прокси-сервер.
10. Нажмите Сохранить.
11. После того, как вы сохраните настройки, выполните вход в веб-интерфейс и примите Условия использования, иначе в API будет возвращаться ошибка.
    

Процесс интеграции Kaspersky Threat Intelligence Portal с KUMA завершен.

После интеграции Kaspersky Threat Intelligence Portal и KUMA в области деталей события можно запрашивать сведения о хостах, доменах, URL-адресах, IP-адресах и хешах файлов (MD5, SHA1, SHA256).

Запрос данных от Kaspersky Threat Intelligence Portal

Чтобы запросить данные от Kaspersky Threat Intelligence Portal:

1. Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла.

   В правой части экрана откроется область Обогащение Threat Lookup.

2. Установите флажки рядом с типами данных, которые нужно запросить.

   Если ни один из флажков не установлен, запрашиваются все данные.

3. В поле Максимальное количество записей в каждой группе данных введите количество записей для выбранного типа данных, которое вы хотите получить. Значение по умолчанию: 10.
4. Нажмите Запрос.

Задача ktl создана. По ее завершении события дополняются данными из Kaspersky Threat Intelligence Portal, которые можно просмотреть в таблице событий, окне алерта или окне корреляционного события.

Просмотр данных от Kaspersky Threat Intelligence Portal

Чтобы просмотреть данные из Kaspersky Threat Intelligence Portal,

Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла, для которого вы ранее запрашивали данные от Kaspersky Threat Intelligence Portal.

В правой части экрана откроется область деталей с данными из Kaspersky Threat Intelligence Portal с указанием времени последнего обновления этих данных.

Информация, полученная от Kaspersky Threat Intelligence Portal, кешируется. Если нажать на домен, веб-адрес, IP-адрес или хеш файла в области деталей события, для которого у KUMA уже есть доступная информация, вместо окна Обогащение Threat Lookup отобразятся данные из Kaspersky Threat Intelligence Portal с указанием времени их получения. Эти данные можно обновить.

Обновление данных от Kaspersky Threat Intelligence Portal

Чтобы обновить данные, полученные от Kaspersky Threat Intelligence Portal:

1. Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла, для которого вы ранее запрашивали данные от Kaspersky Threat Intelligence Portal.
2. Нажмите Обновить в области деталей события с данными, полученными с портала Kaspersky Threat Intelligence Portal.

   В правой части экрана откроется область Обогащение Threat Lookup.

3. Установите флажки рядом с типами данных, которые вы хотите запросить.

   Если ни один из флажков не установлен, запрашиваются все данные.

4. В поле Максимальное количество записей в каждой группе данных введите количество записей для выбранного типа данных, которое вы хотите получить. Значение по умолчанию: 10.
5. Нажмите Обновить.

   Создается задача KTL и запрашиваются новые данные, полученные из Kaspersky Threat Intelligence Portal.

6. Закройте окно Обогащение Threat Lookup и область подробной информации о KTL.
7. Откройте область подробной информации о событии из таблицы событий, окна алертов или окна корреляционных событий и перейдите по ссылке, соответствующей домену, веб-адресу, IP-адресу или хешу файла, для которого вы обновили информацию на Kaspersky Threat Intelligence Portal, и выберите Показать информацию из Threat Lookup.

В правой части экрана откроется область деталей с данными из Kaspersky Threat Intelligence Portal с указанием времени.

Интеграция с R-Vision Security Orchestration, Automation and Response

R-Vision Security Orchestration, Automation and Response (далее R-Vision SOAR) – это программная платформа для автоматизации мониторинга, обработки и реагирования на инциденты информационной безопасности. Она объединяет данные о киберугрозах из различных источников в единую базу данных для дальнейшего анализа и расследования, что позволяет облегчить реагирование на инциденты.

R-Vision SOAR можно интегрировать с KUMA. Когда интеграция включена, создание алерта в KUMA приводит к созданию инцидента в R-Vision SOAR. Алерт KUMA и инцидент R-Vision SOAR взаимосвязаны: при обновлении статуса инцидента в R-Vision SOAR статус соответствующего алерта KUMA также меняется.

Интеграция R-Vision SOAR и KUMA настраивается в обоих приложениях. На стороне KUMA настройка интеграции доступна только для главных администраторов.

Сопоставление полей алерта KUMA и инцидента R-Vision SOAR при передаче данных по API

Настройка интеграции в KUMA

В этом разделе описывается интеграция KUMA с R-Vision SOAR на стороне KUMA.

Интеграция в KUMA настраивается в разделе веб-интерфейса KUMA Параметры → IRP / SOAR.

Чтобы настроить интеграцию с R-Vision SOAR:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите на кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс будет использоваться для хранения токена для API-запросов в R-Vision SOAR.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название укажите имя для добавляемого секрета. Длина названия должна быть от 1 до 128 символов в кодировке Unicode.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
   3. В раскрывающемся списке Тип выберите token.
   4. В поле Токен введите свой API-токен для R-Vision SOAR.

      Токен можно узнать в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → API.

   5. При необходимости в поле Описание добавьте описание секрета до 4000 символов в кодировке Unicode.
4. Нажмите Сохранить.

   API-токен для R-Vision SOAR сохранен и теперь может использоваться в других ресурсах KUMA.

5. Откройте раздел веб-интерфейса KUMA Параметры → IRP / SOAR.

   Откроется окно с параметрами интеграции R-Vision SOAR.

6. Измените необходимые параметры:
   • Выключено – установите этот флажок, если хотите выключить интеграцию R-Vision SOAR с KUMA.
   • В раскрывающемся списке Секрет выберите секрет, созданный ранее.

     Можно создать новый секрет, нажав на кнопку со значком плюса. Созданный секрет будет сохранен в разделе Ресурсы → Секреты.

   • URL (обязательно) – URL хоста сервера R-Vision SOAR.
   • Название поля для размещения идентификаторов алертов KUMA (обязательно) – имя поля R-Vision SOAR, в которое будет записываться идентификатор алерта KUMA.
   • Название поля для размещения URL алертов KUMA (обязательно) – имя поля R-Vision SOAR, в которое будет помещаться ссылка на алерт KUMA.
   • Категория (обязательно) – категория алерта R-Vision SOAR, который создается при получении данных об алерте от KUMA.
   • Поля событий​ KUMA для отправки в IRP / SOAR (обязательно) – раскрывающийся список для выбора полей событий KUMA, которые следует отправлять в R-Vision SOAR.
   • Группа настроек Уровень важности (обязательно) – используется для сопоставления значений уровня важности KUMA со значениями уровня важности R-Vision SOAR.
7. Нажмите Сохранить.

В KUMA теперь настроена интеграция с R-Vision SOAR. Если интеграция также настроена в R-Vision SOAR, при появлении алертов в KUMA информация о них будет отправляться в R-Vision SOAR для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision SOAR.

Если вы работаете с несколькими тенантами и хотите интегрироваться с R-Vision SOAR, названия тенантов должны соответствовать коротким названиям компаний в R-Vision SOAR.

Настройка интеграции в R-Vision SOAR

В этом разделе описывается интеграция KUMA с R-Vision SOAR на стороне R-Vision SOAR.

Интеграция в R-Vision SOAR настраивается в разделе Настройки веб-интерфейса R-Vision SOAR. Подробнее о настройке R-Vision SOAR см. в документации этой программы.

Настройка интеграции с KUMA состоит из следующих этапов:

• Настройка роли пользователя R-Vision SOAR
  1. Присвойте используемому для интеграции пользователю R-Vision SOAR системную роль Менеджер по управлению инцидентами. Роль можно присвоить в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → Пользователи системы, выбрав нужного пользователя. Роль добавляется в блоке параметров Системные роли.

     Пользователь R-Vision SOAR версии 4.0 с ролью Менеджер по управлению инцидентами

     

     Пользователь R-Vision SOAR версии 5.0 с ролью Менеджер по управлению инцидентами

     

  2. Убедитесь, что API-токен используемого для интеграции пользователя R-Vision SOAR указан в секрете в веб-интерфейсе KUMA. Токен отображается в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → API.

     API-токен в R-Vision SOAR версии 4.0

     

     API-токен в R-Vision SOAR версии 5.0

     

• Настройка полей инцидентов R-Vision SOAR и алертов KUMA
  1. Добавьте поля инцидента ALERT_ID и ALERT_URL.
  2. Настройте категорию инцидентов R-Vision SOAR, создаваемых по алертам KUMA. Это можно сделать в веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Категории инцидентов. Добавьте новую или измените существующую категорию инцидентов, указав в блоке параметров Поля категорий созданные ранее поля инцидентов Alert ID и Alert URL. Поле Alert ID можно сделать скрытым.

     Категории инцидентов с данными из алертов KUMA в R-Vision SOAR версии 4.0

     

     Категории инцидентов с данными из алертов KUMA в R-Vision SOAR версии 5.0

     

  3. Запретите редактирование ранее созданных полей инцидентов Alert ID и Alert URL. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Представления выберите категорию инцидентов R-Vision SOAR, которые будут создаваться по алертам KUMA, и установите рядом с полями Alert ID и Alert URL значок замка.

     Поле Alert URL недоступно для редактирования в R-Vision SOAR версии 4.0

     

     Поле Alert URL недоступно для редактирования в R-Vision SOAR версии 5.0

     

• Создание коллектора и коннектора в R-Vision SOAR
  1. Создайте коллектор R-Vision SOAR для взаимодействия с KUMA.
  2. Создайте и настройте коннектор R-Vision SOAR для отправки в KUMA API-запросов на закрытие алертов.
• Создание правила на закрытие алерта в KUMA

  Создайте правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision SOAR.

В R-Vision SOAR теперь настроена интеграция с KUMA. Если интеграция также настроена в KUMA, при появлении алертов в KUMA информация о них будет отправляться в R-Vision SOAR для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision SOAR.

Добавление полей инцидента ALERT_ID и ALERT_URL

Чтобы добавить в R-Vision SOAR поле инцидента ALERT_ID:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Поля инцидентов выберите группу полей Без группы.
2. Нажмите на значок плюса в правой части экрана.

   В правой части экрана отобразится область параметров создаваемого поля инцидента.

3. В поле Наименование введите название поля, например Alert ID.
4. В раскрывающемся списке Тип выберите Текстовое поле.
5. В поле Тег для распознавания введите ALERT_ID.

Поле ALERT_ID добавлено в инцидент R-Vision SOAR.

Поле ALERT_ID в R-Vision SOAR версии 4.0

Поле ALERT_ID в R-Vision SOAR версии 5.0

Чтобы добавить в R-Vision SOAR поле инцидента ALERT_URL:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Поля инцидентов выберите группу полей Без группы.
2. Нажмите на значок плюса в правой части экрана.

   В правой части экрана отобразится область параметров создаваемого поля инцидента.

3. В поле Наименование введите название поля, например Alert URL.
4. В раскрывающемся списке Тип выберите Текстовое поле.
5. В поле Тег для распознавания введите ALERT_URL.
6. Установите флажки Отображение ссылок и Отображать URL как ссылки.

Поле ALERT_URL добавлено в инцидент R-Vision SOAR.

Поле ALERT_URL в R-Vision SOAR версии 4.0

Поле ALERT_URL в R-Vision SOAR версии 5.0

При необходимости аналогичным образом можно настроить отображение других данных из алерта KUMA в инциденте R-Vision SOAR.

Создание коллектора в R-Vision SOAR

Чтобы создать коллектор в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → Коллекторы нажмите на значок плюса.
2. В поле Название укажите название коллектора (например, Main collector).
3. В поле Адрес коллектора введите IP-адрес или название хоста, где установлена R-Vision SOAR (например, 127.0.0.1).
4. В поле Порт введите значение 3001.
5. Нажмите Добавить.
6. На вкладке Организации выберите организацию, для которой вы хотите добавить интеграцию с KUMA и установите флажки Коллектор по умолчанию и Коллектор реагирования.

Коллектор R-Vision SOAR создан.

Создание коннектора в R-Vision SOAR

Чтобы создать коннектор в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Коннекторы нажмите на значок плюса.
2. В раскрывающемся списке Тип выберите REST.
3. В поле Название укажите название коннектора, например, KUMA.
4. В поле URL введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

   Пример: https://kuma-example.com:7223/api/v1/alerts/close

5. В раскрывающемся списке Тип авторизации выберите Токен.
6. В поле Auth header введите значение Authorization.
7. В поле Auth value введите токен главного администратора KUMA в следующем формате:

   Bearer <токен главного администратора KUMA>

8. В раскрывающемся списке Коллектор выберите ранее созданный коллектор.
9. Нажмите Сохранить.

Коннектор создан.

Коннектор в R-Vision SOAR версии 4.0

Коннектор в R-Vision SOAR версии 5.0

После того как коннектор создан, требуется настроить отправку API-запросов на закрытие алертов в KUMA.

Чтобы настроить отправку API-запросов в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Коннекторы откройте созданный коннектор для редактирования.
2. В раскрывающемся списке типа запросов выберите POST.
3. В поле Params введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

   Пример, https://kuma-example.com:7223/api/v1/alerts/close

4. На вкладке HEADERS добавьте следующие ключи и их значения:
   • Ключ Content-Type; значение: application/json.
   • Ключ Authorization; значение: Bearer <токен главного администратора KUMA>.

     Токен главного администратора KUMA можно получить в веб-интерфейсе KUMA в разделе Параметры → Пользователи.

5. На вкладке BODY → Raw введите содержание тела API-запроса:

   {

       "id":"{{tag.ALERT_ID}}",

       "reason":"<причина закрытия алерта. Доступные значения: "Incorrect Correlation Rule", "Incorrect Data", "Responded".>"

   }

6. Нажмите Сохранить.

Коннектор настроен.

Коннектор в R-Vision SOAR версии 4.0

Коннектор в R-Vision SOAR версии 5.0

Создание правила на закрытие алерта в KUMA при закрытии инцидента в R-Vision SOAR

Чтобы создать правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Сценарии реагирования нажмите на значок плюса.
2. В поле Название введите название создаваемого правила, например Close alert.
3. В раскрывающемся списке Группа выберите Все сценарии.
4. В блоке параметров Критерии автоматического запуска нажмите Добавить и в открывшемся окне введите условия срабатывания правила:
   1. В раскрывающемся списке Тип выберите Значение поля.
   2. В раскрывающемся списке Поле выберите Статус инцидента.
   3. Установите флажок напротив статуса Закрыт.
   4. Нажмите Добавить.

   Условия срабатывания правила добавлены. Правило будет срабатывать при закрытии инцидента.

5. В блоке параметров Действия по инциденту нажмите Добавить → Запуск коннектора и в открывшемся окне выберите коннектор, который следует выполнить при срабатывании правила:
   1. В раскрывающемся списке Коннектор выберите ранее созданный коннектор.
   2. Нажмите Добавить.

   Коннектор добавлен в правило.

6. Нажмите Добавить.

Правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision SOAR создано.

Правило сценария R-Vision SOAR версии 4.0

Правило сценария R-Vision SOAR версии 5.0

Работа с алертами с помощью R-Vision SOAR

После того как интеграция KUMA и R-Vision SOAR настроена, данные об алертах KUMA поступают в R-Vision SOAR. Изменение параметров алертов в KUMA отражается в R-Vision SOAR. Изменение статусов алертов в KUMA или R-Vision SOAR, кроме закрытия, также отражается в другой системе.

Если настроена интеграция KUMA и R-Vision SOAR, вы можете выполнять следующее:

• Передавать сведения о киберугрозах из KUMA в R-Vision SOAR

  Из KUMA в R-Vision SOAR автоматически передаются сведения об обнаруженных алертах. При этом в R-Vision SOAR создается инцидент.

  В R-Vision SOAR передаются следующие сведения об алерте KUMA:

  • идентификатор;
  • название;
  • статус;
  • дата первого события, относящегося к алерту;
  • дата последнего обнаружения, относящегося к алерту;
  • имя учетной записи или адрес электронной почты специалиста по безопасности, назначенного для обработки алерта;
  • уровень важности алерта;
  • категория инцидента R-Vision SOAR, соответствующего алерту KUMA;
  • иерархический список событий, связанных с алертом;
  • список активов, как внутренних, так и внешних, связанных с алертом;
  • список пользователей, связанных с алертом;
  • журнал изменений алерта;
  • ссылка на алерт в KUMA.
• Расследовать киберугрозы в KUMA

  Первоначальная обработка алерта производится в KUMA. Специалист по безопасности может уточнять и менять любые параметры алерта, кроме идентификатора и названия. Внесенные изменения отражаются в карточке инцидента R-Vision SOAR.

  Если киберугроза признается ложной и алерт закрывается в KUMA, соответствующий ему инцидент R-Vision SOAR также автоматически закрывается.

• Закрывать инциденты в R-Vision SOAR

  После необходимых работ по инциденту и фиксации хода расследования в R-Vision SOAR инцидент закрывается. Соответствующий алерт KUMA также автоматически закрывается.

• Открывать ранее закрытые инциденты

  Если в процессе мониторинга обнаруживается, что инцидент не был решен полностью или обнаруживаются дополнительные сведения, такой инцидент снова открывается в R-Vision SOAR. При этом в KUMA алерт остается закрытым.

  Специалист по безопасности с помощью ссылки может перейти из инцидента R-Vision SOAR в соответствующий алерт в KUMA и изменить его параметры, кроме идентификатора, названия и статуса. Внесенные изменения отражаются в карточке инцидента R-Vision SOAR.

  Дальнейший анализ происходит в R-Vision SOAR. Когда расследование завершено и инцидент в R-Vision SOAR снова закрыт, статус соответствующего алерта в KUMA не меняется: алерт остается закрытым.

• Запрашивать дополнительные сведения из системы-источника в рамках сценария реагирования или вручную

  Если в процессе анализа в R-Vision SOAR возникает необходимость получить дополнительные сведения из KUMA, в R-Vision SOAR можно сформировать требуемый поисковый запрос (например, запрос телеметрии, репутации, сведений о хосте) к KUMA. Запрос передается с помощью REST API KUMA, ответ фиксируется в карточке инцидента R-Vision SOAR для дальнейшего анализа и вывода в отчет.

  Действия выполняются в такой же последовательности на этапе автоматической обработки, если нет возможности сразу сохранить всю информацию по инциденту при импорте.

Интеграция с Active Directory, Active Directory Federation Services и FreeIPA

KUMA можно интегрировать с используемыми в вашей организации службами Active Directory, Active Directory Federation Services и FreeIPA.

Вы можете настроить подключение к службе каталогов Active Directory по протоколу LDAP. Это позволит использовать информацию из Active Directory в правилах корреляции для обогащения событий и алертов, а также для аналитики.

Если вы настроите соединение с сервером контроллера домена, это позволит использовать доменную авторизацию. В этом случае вы сможете привязать группы пользователей из домена к фильтрам ролей KUMA. Пользователи, принадлежащие к этим группам, смогут войти в веб-интерфейс KUMA, используя свои доменные учетные данные, и получат доступ к разделам программы в соответствии с назначенной ролью.

Рекомендуется предварительно создать в Active Directory, Active Directory Federation Services или FreeIPA группы пользователей, которым вы хотите предоставить возможность проходить авторизацию с помощью доменной учетной записи в веб-интерфейсе KUMA. В свойствах учетной записи пользователя в Active Directory обязательно должен быть указан адрес электронной почты.

Подключение по протоколу LDAP

Подключения по протоколу LDAP создаются и управляются в разделе Параметры → LDAP-сервер веб-интерфейса KUMA. В разделе Интеграция c LDAP-сервером по тенантам отображаются тенанты, для которых созданы подключения по протоколу LDAP. Тенанты можно создать или удалить.

Если выбрать тенант, откроется окно Интеграция c LDAP-сервером, в котором отображается таблица с существующими LDAP-подключениями. Подключения можно создать или изменить. В этом же окне можно изменить частоту обращения к LDAP-серверам и установить срок хранения устаревших данных.

После включения интеграции информация об учетных записях Active Directory становится доступной в окне алертов, в окне с подробной информацией о корреляционных событиях, а также окне инцидентов. При выборе имени учетной записи в разделе Связанные пользователи откроется окно Информация об учетной записи с данными, импортированными из Active Directory.

Данные из LDAP можно также использовать при обогащении событий в коллекторах и в аналитике.

Импортируемые атрибуты Active Directory

Подробнее об атрибутах Active Directory см. в документации Microsoft.

Включение и выключение LDAP-интеграции

Можно включить или выключить сразу все LDAP-подключения тенанта, а можно включить или выключить только определенное LDAP-подключение.

Чтобы включить или отключить все LDAP-подключения тенанта:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить все подключения к LDAP.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Установите или снимите флажок Выключено.
3. Нажмите Сохранить.

Чтобы включить или отключить определенное LDAP-подключение:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Выберите нужное подключение и в открывшемся окне установите или снимите флажок Выключено.
3. Нажмите Сохранить.

Добавление тенанта в список тенантов для интеграции с LDAP-сервером

Чтобы добавить тенант в список тенантов для интеграции с LDAP-сервером:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Нажмите на кнопку Добавить тенант.

   Отобразится окно Интеграция с LDAP-сервером.

3. В раскрывающемся списке Тенант выберите тенант, который вам требуется добавить.
4. Нажмите Сохранить.

Выбранный тенант добавлен в список тенантов для интеграции с LDAP-сервером.

Чтобы добавить тенант из списка тенантов для интеграции с LDAP-сервером:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Отобразится таблица Интеграция с LDAP-сервером по тенантам.

2. Установите флажок рядом с тенантом, который необходимо удалить, и нажмите на кнопку Удалить.
3. Подтвердите удаление тенанта.

Выбранный тенант удален из списка тенантов для интеграции с LDAP-сервером.

Создание подключения к LDAP-серверу

Чтобы создать LDAP-подключение к Active Directory:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA.
2. Выберите или создайте тенант, для которого хотите создать подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

3. Нажмите на кнопку Добавить подключение.

   Откроется окно Параметры подключения.

4. Добавьте секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
   1. Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий секрет типа credentials.

      Выбранный секрет можно изменить, нажав на значок карандаша ().

   2. Если вы хотите создать новый секрет, нажмите на значок плюса ().

      Откроется окно Секрет.

   3. В поле Название (обязательно) введите название секрета: от 1 до 128 символов в кодировке Unicode.
   4. В полях Пользователь и Пароль (обязательно) введите учетные данные для подключения к серверу Active Directory.

      Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.

   5. В поле Описание введите описание до 4000 символов в кодировке Unicode.
   6. Нажмите на кнопку Сохранить.
5. В поле Название (обязательно) введите уникальное имя LDAP-подключения.

   Длина должна быть от 1 до 128 символов в кодировке Unicode.

6. В поле URL (обязательно) введите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

7. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Тип выберите один из следующих вариантов:
   • startTLS.

     При использовании метода

     startTLS

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • LDAPS.

     При использовании LDAPS сразу устанавливается шифрованное соединение по порту 636.

   • незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

8. Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат. Следует использовать сертификат удостоверяющего центра, которым подписан сертификат сервера LDAP. Пользовательские сертификаты использовать нельзя. Чтобы добавить сертификат, выполните следующие действия:
   1. Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Сертификат.

      Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

   2. Если вы хотите загрузить новый сертификат, справа от списка Сертификат нажмите на значок плюса ().

      Откроется окно Секрет.

   3. В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
   4. По кнопке Загрузить файл сертификата добавьте файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в Base64.
   5. Если требуется, укажите любую информацию о сертификате в поле Описание.
   6. Нажмите на кнопку Сохранить.

   Сертификат будет загружен и отобразится в списке Сертификат.

9. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

   Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

10. В поле База поиска (Base DN)  введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
11. В поле Пользовательские атрибуты учетных записей AD укажите дополнительные атрибуты, с использованием которых вы хотите обогащать события.

    Перед настройкой обогащения событий с помощью пользовательских атрибутов убедитесь, что пользовательские атрибуты настроены в AD.

    Чтобы обогащать события учетными записями с помощью пользовательских атрибутов:

    1. Добавьте Пользовательские атрибуты учетных записей AD в Параметрах подключения к LDAP.

       Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартный атрибут accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.

       Из Active Directory можно запросить следующие атрибуты учетных записей:

       • accountExpires
       • badPasswordTime
       • cn
       • company
       • department
       • displayName
       • distinguishedName
       • division
       • employeeID
       • ipaUniqueID
       • l
       • mail
       • mailNickname
       • managedObjects
       • manager
       • memberOf (по этому атрибуту события можно искать при корреляции)
       • mobile
       • objectGUID (этот атрибут запрашивается из Active Directory всегда)
       • objectSid
       • physicalDeliveryOfficeName
       • sAMAccountName
       • sAMAccountType
       • sn
       • streetAddress
       • telephoneNumber
       • title
       • userAccountControl
       • userPrincipalName
       • whenChanged
       • whenCreated

       После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.

       Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.  

    2. Импортируйте учетные записи.
    3. В коллекторе в таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP.
    4. Перезапустите коллектор.

       После перезапуска коллектора KUMA начнет обогащать события учётными записями.

        

12. Установите флажок Выключено, если не хотите использовать это LDAP-подключение.

    По умолчанию флажок снят.

13. Нажмите на кнопку Сохранить.

LDAP-подключение к Active Directory создано и отображается в окне Интеграция с LDAP-сервером.

Информация об учетных записях из Active Directory будет запрошена сразу после сохранения подключения, а затем будет обновляться с указанной периодичностью.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

Создание копии подключения к LDAP-серверу

Вы можете создать LDAP-подключение, скопировав уже существующее подключение. В этом случае в созданное подключение дублируются все параметры исходного подключения.

Чтобы скопировать LDAP-подключение:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, для которого вы хотите скопировать подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Выберите нужное подключение.
3. В открывшемся окне Параметры подключения нажмите на кнопку Дублировать подключение.

   Отобразится окно создания нового подключения. К названию подключения будет добавлено слово копия.

4. Если требуется, измените нужные параметры.
5. Нажмите на кнопку Сохранить.

Создано новое подключение.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

Изменение подключения к LDAP-серверу

Чтобы изменить подключение к LDAP-серверу:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Выберите тенант, для которого вы хотите изменить подключение к LDAP-серверу.

   Откроется окно Интеграция с LDAP-сервером.

3. Нажмите на подключение с LDAP-серверу, которое вы хотите изменить.

   Откроется окно с параметрами выбранного подключения к LDAP-серверу.

4. Измените значения необходимых параметров.
5. Нажмите на кнопку Сохранить.

Подключение к LDAP-серверу изменено. Перезапустите сервисы KUMA, использующие обогащение данными LDAP-серверов, чтобы изменения вступили в силу.

Изменение частоты обновления данных

KUMA обращается к LDAP-серверу для обновления данных об учетных записях. Это происходит в следующих случаях:

• Сразу после создания нового подключения.
• Сразу после изменения параметров существующего подключения.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 12 часов.
• При создании пользователем задачи на обновление данных об учетных записях.

При обращении к LDAP-серверам создается задача в разделе Диспетчер задач веб-интерфейса KUMA.

Чтобы изменить расписание обращений KUMA к LDAP-серверам:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите нужный тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. В поле Период обновления данных укажите требуемую частоту в часах. Значение по умолчанию – 12.

Расписание обращений изменено.

Изменение срока хранения данных

Полученные данные об учетных записях, если сведения о них перестают поступать от сервера Active Directory, по умолчанию хранятся в KUMA в течение 90 дней. По прошествии этого срока данные удаляются.

После удаления данных об учетных записях в KUMA новые и существующие события не обогащаются этой информацией. Информация об учетных записях также будет недоступна в алертах. Если вы хотите просматривать информацию об учетных записях на протяжении всего времени хранения алерта, требуется установить срок хранения данных об учетных записях больше, чем срок хранения алерта.

Чтобы изменить срок хранения данных об учетных записях:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите нужный тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. В поле Время хранения данных укажите количество дней, в течение которого требуется хранить полученные от LDAP-сервера данные.

Срок хранения данных об учетных записях изменен.

Запуск задач на обновление данных об учетных записях

После создания подключения к серверу Active Directory задачи на получение данных об учетных записях создаются автоматически. Это происходит в следующих случаях:

• Сразу после создания нового подключения.
• Сразу после изменения параметров существующего подключения.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 12 часов. Расписание можно изменить.

Задачи на обновление данных об учетных записях можно создать вручную. Загрузить данные можно для всех подключений требуемого тенанта, так и для одного подключения.

Чтобы запустить задачу на обновление данных об учетных записях для всех LDAP-подключений тенанта:

1. Откройте в веб-интерфейсе KUMA разделе Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите требуемый тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. Нажмите на кнопку Импортировать учетные записи.

В разделе Диспетчер задач веб-интерфейса KUMA добавлена задача на получение данных об учетных записях выбранного тенанта.

Чтобы запустить задачу на обновление данных об учетных записях для одного LDAP-подключения тенанта:

1. Откройте в веб-интерфейсе KUMA разделе Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите требуемый тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. Выберите требуемое подключение к LDAP-серверу.

   Откроется окно Параметры подключения.

4. Нажмите на кнопку Импортировать учетные записи.

В разделе Диспетчер задач веб-интерфейса KUMA добавлена задача на получение данных об учетных записях из выбранного подключения тенанта.

Удаление подключения к LDAP-серверу

Чтобы удалить LDAP-подключения к Active Directory:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, которому принадлежит нужное подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Нажмите на подключение LDAP, которое вы хотите удалить, а затем нажмите на кнопку Удалить.
3. Подтвердите удаление подключения.

LDAP-подключение к Active Directory удалено.

Аутентификация с помощью доменных учетных записей

Чтобы пользователи могли проходить аутентификацию в веб-интерфейсе KUMA с помощью своих доменных учетных данных, требуется выполнить следующие этапы настройки.

1. Включить доменную аутентификацией, если она отключена

   По умолчанию доменная аутентификация включена, но подключение к домену не настроено.

2. Настроить соединение с контроллером домена

   Доступны следующие соединения:

   • Active Directory (AD)
   • Active Directory Federation Services (ADFS)
   • FreeIPA

   Одновременно могут быть настроены параметры подключения к AD и ADFS.

   Подключение возможно только к одному домену.

3. Добавить группы ролей пользователей

   Вы можете указать для каждой роли KUMA группу домена. Пользователи из этой группы, пройдя аутентификацию с помощью своих доменных учетных данных, будут получать доступ к веб-интерфейсу KUMA в соответствии с указанной ролью.

   При этом программа проверяет соответствие группы пользователя указанному фильтру в порядке следования ролей в веб-интерфейсе KUMA: Младший аналитик → Аналитик первого уровня → Аналитик второго уровня → Администратор тенанта → Главный администратор. При первом совпадении пользователю присваивается роль и дальнейшая проверка не осуществляется. Если для пользователя указано две группы в одном тенанте, то будет использована роль с наименьшими правами. Если указано несколько групп для разных тенантов, то в каждом тенанте пользователю будет присвоена указанная роль.

Особенности входа в систему после настройки доменной аутентификации

Для успешной аутентификации необходимо соблюдать следующие условия:

• FreeIPA: при входе в систему пользователю следует указывать в логине домен заглавными буквами. Пример: user@FREEIPA.COM
• AD/ADFS: при входе в систему пользователю следует указывать в логине UserPrincipalName. Пример: user@domain.ru.

Если вы выполнили все этапы настройки, но пользователь не может пройти аутентификацию в веб-интерфейсе KUMA с помощью своей доменной учетной записи, мы рекомендуем проверить конфигурацию на наличие следующих проблем:

• В свойствах учетной записи пользователя в Active Directory не указан адрес электронной почты. В этом случае при первой аутентификации пользователя отобразится сообщение об ошибке и учетная запись KUMA не будет создана.
• Локальная учетная запись KUMA с адресом электронной почты, указанным в свойствах доменной учетной записи, уже существует. В этом случае при попытке аутентификации с помощью доменной учетной записи пользователь получит сообщение об ошибке.
• Доменная аутентификация отключена в параметрах KUMA.
• Допущена ошибка при вводе группы ролей.
• Доменное имя пользователя содержит пробел.

Включение и выключение доменной аутентификации

По умолчанию доменная аутентификация включена, но подключение к домену не настроено. Если после настройки подключения вы хотите временно приостановить доменную аутентификацию, вы можете отключить ее в веб-интерфейсе KUMA, не удаляя заданные ранее значения параметров. При необходимости вы сможете в любой момент включить аутентификация снова.

Чтобы включить или отключить доменную авторизацию пользователей в веб-интерфейсе KUMA:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите один из вариантов:
   • FreeIPA
   • AD/ADFS
3. Выполните одно из следующих действий:
   • Если вы хотите выключить доменную аутентификацию, в верхней части рабочей области установите флажок Выключено.
   • Если вы хотите включить доменную аутентификацию, в верхней части рабочей области снимите флажок Выключено.
4. Нажмите на кнопку Сохранить.

Выбранные настройки будут сохранены и применены.

Настройка соединения KUMA с FreeIPA

Вы можете подключиться только к одному домену FreeIPA. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена FreeIPA:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите FreeIPA.
3. В блоке параметров FreeIPA в поле База поиска (Base DN) введите DistinguishedName корневой записи для поиска групп доступа в службе каталогов FreeIPA. Формат записи: dc=example,dc=com.
4. В поле URL укажите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   Вы можете указать через запятую адреса до трех серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

5. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Режим TLS выберите один из следующих вариантов:
   • startTLS.

     При использовании метода startTLS сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • ssl.

     При использовании SSL сразу устанавливается шифрованное соединение по порту 636.

   • незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

6. Если включено TLS-шифрование, поле Секрет становится обязательным для заполнения и в нем требуется указать секрет с типом certificate. Если вы загрузили секрет ранее, выберите его в раскрывающемся списке Секрет. При необходимости, создайте новый секрет с типом certificate с помощью кнопки и выберите секрет в раскрывающемся списке.
7. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена. По умолчанию указано значение 0.

   Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа будет обращаться к следующему указанному серверу. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

8. В раскрывающемся списке Секрет пользовательской интеграции выберите секрет с типом credentials.

   Если вы хотите загрузить новый секрет с типом credentials, справа от списка Секрет пользовательской интеграции нажмите на кнопку . В открывшемся окне Секрет в поле Название введите название секрета, которое будет отображаться в списке после сохранения. В поле Пользователь укажите DistinguishedName в следующем формате: uid=admin,cn=users,cn=accounts,dc=ipa,dc=test. Укажите Пароль и нажмите на кнопку Сохранить.

   Секрет будет загружен и станет доступен для выбора в раскрывающемся списке Секрет пользовательской интеграции.

9. Если вы хотите настроить доменную аутентификацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы FreeIPA, в которой состоит пользователь. Для Главного администратора дополнительные роли активированы в KUMA автоматически, поэтому их не нужно добавлять отдельно.

   В случае когда для пользователя указано несколько групп в одном тенанте, будет использована роль с наибольшими правами и дополнительные роли, если дополнительные роли были назначены.

   Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

10. Нажмите на кнопку Сохранить.

Соединение с контроллером домена FreeIPA будет настроено.

Вы также можете проверить соединение для введенных ранее параметров соединения с контроллером домена.

Чтобы проверить соединение с контроллером домена:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите FreeIPA.
3. В блоке параметров FreeIPA выберите нужный секрет в поле Данные аутентификации.

   При необходимости вы можете создать новый секрет, нажав на кнопку , или изменить параметры существующего секрета, нажав на кнопку . Если интеграция с FreeIPA включена, выбор секрета всегда сбрасывается при загрузке страницы, даже

4. Нажмите на кнопку Тест.

   После нажатия на кнопку Тест система выполнит проверку соединения с доменом и вернет всплывающее уведомление с результатами теста. Система не выполняет проверку возможности входа в систему и правильность настройки группы пользователей.

Для работы доменной аутентификации требуется также добавить группы для ролей пользователей KUMA.

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную аутентификацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В блоке параметров Группы администрирования нажмите на кнопку Добавить группы ролей.
3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную аутентификацию. Тенант Shared отображается в раскрывающемся списке, но для него нельзя назначить роль, потому что единственная роль в тенанте Shared - это дополнительная роль Доступ к общим ресурсам, а дополнительные роли в доменной аутентификации не участвуют.
4. В раскрывающемся списке Выбранные роли укажите роли для пользователя. Можно выбрать несколько ролей. Доступны следующие значения:
   • Администратор тенанта.
   • Аналитик второго уровня.
   • Аналитик первого уровня.
   • Младший аналитик.

   После того как вы выберете роли, для каждой роли появится поле фильтра для группы. Укажите DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для каждой роли. Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

   Для каждого тенанта можно задать отдельный набор фильтров для ролей.

   Если для какой-то из ролей не указан фильтр, это означает что для данной роли не указаны условия создания учетной записи через доменную аутентификацию. Выполнить аутентификацию с такой ролью невозможно.

   После первой аутентификации пользователей под доменной учетной записью в разделе Параметры → Пользователи будут созданы карточки доменных пользователей. Для доменного пользователя в карточке пользователя заблокирована возможность изменения основных ролей (Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик) и доступно добавление и удаление дополнительных ролей (Доступ к КИИ, Работа с НКЦКИ, Доступ к общим ресурсам), включая управление привязкой дополнительных ролей к тенантам. Роли назначенные в разделе Доменной аутентификации и назначенные в карточке пользователя дополняют друг друга. Для Главного администратора дополнительные роли в KUMA активированы автоматически, поэтому не нужно добавлять их отдельно. Если доменному пользователю была присвоена роль Главного администратора, а затем роль Главного администратора отозвана, дополнительные роли нужно будет заново присвоить в карточке пользователя в разделе Параметры → Пользователи.

   Вы можете указать для каждой роли только одну группу домена. Если вам нужно указать несколько групп, для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную аутентификацию с ролями Младший аналитик, Аналитик первого уровня, Аналитик второго уровня или Администратор тенанта.
6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой аутентификации пользователя информация о нем отобразится в разделе Параметры → Пользователи. Поля Логин и Пароль, полученные из домена, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной аутентификации пользователя. До истечения текущей сессии пользователь продолжает работу с действующей ролью.

Если в свойствах доменной учетной записи изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

Настройка соединения KUMA с Active Directory

Вы можете подключиться только к одному домену Active Directory. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена Active Directory:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите AD/ADFS.
3. В блоке параметров Active Directory в поле База поиска (Base DN) введите DistinguishedName корневой записи для поиска групп доступа в службе каталогов Active Directory.
4. В поле URL укажите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

5. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Режим TLS выберите один из следующих вариантов:
   • startTLS.

     При использовании метода startTLS сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • ssl.

     При использовании SSL сразу устанавливается шифрованное соединение по порту 636.

   • незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

6. Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат:
   • Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Секрет.

     Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

   • Если вы хотите загрузить новый сертификат, справа от списка Секрет нажмите на кнопку . В открывшемся окне в поле Название введите название, которое будет отображаться в списке сертификатов после его добавления. Добавьте файл с сертификатом Active Directory (поддерживаются открытые ключи сертификата X.509 в Base64), нажав на кнопку Загрузить файл сертификата. Нажмите на кнопку Сохранить.

     Сертификат будет загружен и отобразится в списке Секрет.

7. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

   Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа будет обращаться к следующему указанному серверу. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

8. Если вы хотите настроить доменную аутентификацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы Active Directory, в которой состоит пользователь. Для Главного администратора дополнительные роли активированы в KUMA автоматически и поэтому их не нужно добавлять отдельно.

   В случае когда для пользователя указано несколько групп в одном тенанте, будет использована роль с наибольшими правами и дополнительные роли, если дополнительные роли были назначены.

   Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

9. Нажмите на кнопку Сохранить.

Соединение с контроллером домена Active Directory будет настроено.

Вы также можете проверить соединение для введенных ранее параметров соединения с контроллером домена.

Чтобы проверить соединение с контроллером домена:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите AD/ADFS.
3. В блоке параметров Проверка подключения выберите нужный секрет в поле Данные аутентификации.

   При необходимости вы можете создать новый секрет, нажав на кнопку , или изменить параметры существующего секрета, нажав на кнопку .

   В поле Пользователь доступны следующие форматы указания пользователя: UserPrincipalName и domain\user.

4. Нажмите на кнопку Тест.

   После нажатия на кнопку Тест система выполнит проверку соединения с доменом и вернет всплывающее уведомление с результатами теста. Система не выполняет проверку возможности входа в систему и правильность настройки группы пользователей.

Для работы доменной аутентификации требуется также добавить группы для ролей пользователей KUMA.

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную аутентификацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В блоке параметров Группы администрирования нажмите на кнопку Добавить группы ролей.
3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную аутентификацию. Тенант Shared отображается в раскрывающемся списке, но для него нельзя назначить роль, потому что единственная роль в тенанте Shared - это дополнительная роль Доступ к общим ресурсам, а дополнительные роли в доменной аутентификации не участвуют.
4. В раскрывающемся списке Выбранные роли укажите роли для пользователя. Можно выбрать несколько ролей. Доступны следующие значения:
   • Администратор тенанта.
   • Аналитик второго уровня.
   • Аналитик первого уровня.
   • Младший аналитик.

   После того как вы выберете роли, для каждой роли появится поле фильтра для группы. Укажите DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для каждой роли. Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

   Для каждого тенанта можно задать отдельный набор фильтров для ролей.

   Если для какой-то из ролей не указан фильтр, это означает что для данной роли не указаны условия создания учетной записи через доменную аутентификацию. Выполнить аутентификацию с такой ролью невозможно.

   После первой аутентификации пользователей под доменной учетной записью в разделе Параметры → Пользователи будут созданы карточки доменных пользователей. Для доменного пользователя в карточке пользователя заблокирована возможность изменения основных ролей (Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик) и доступно добавление и удаление дополнительных ролей (Доступ к КИИ, Работа с НКЦКИ, Доступ к общим ресурсам), включая управление привязкой дополнительных ролей к тенантам. Роли назначенные в разделе Доменной аутентификации и назначенные в карточке пользователя дополняют друг друга. Для Главного администратора дополнительные роли в KUMA активированы автоматически, поэтому не нужно добавлять их отдельно. Если доменному пользователю была присвоена роль Главного администратора, а затем роль Главного администратора отозвана, дополнительные роли нужно будет заново присвоить в карточке пользователя в разделе Параметры → Пользователи.

   Вы можете указать для каждой роли только одну группу домена. Если вам нужно указать несколько групп, для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную аутентификацию с ролями Младший аналитик, Аналитик первого уровня, Аналитик второго уровня или Администратор тенанта.
6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой аутентификации пользователя информация о нем отобразится в разделе Параметры → Пользователи. Поля Логин и Пароль, полученные из домена, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной аутентификации пользователя. До истечения текущей сессии пользователь продолжает работу с действующей ролью.

Если в свойствах доменной учетной записи изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

Настройка соединения KUMA с Active Directory Federation Services

Чтобы настроить доменную аутентификацию в KUMA и обеспечить для пользователей возможность входа в KUMA под учетной записью без указания логина и пароля, необходимо предварительно создать группу подключения и настроить правила на стороне ADFS или убедиться, что необходимые группы подключения и правила уже существуют.

После настройки на странице входа в KUMA появится кнопка Вход через ADFS.

Кнопка Вход через ADFS будет скрыта на странице входа в KUMA при следующих условиях:

• Если в раскрывающемся списке Тип аутентификации выбран пункт FreeIPA.
• Если в раскрывающемся списке Тип аутентификации выбран пункт AD/ADFS и настройки для ADFS отсутствуют или установлен флажок Выключено для настроек ADFS.

Вы можете подключиться только к одному домену ADFS. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена ADFS:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите AD/ADFS.
3. В блоке параметров Active Directory Federation Services в поле Идентификатор клиента укажите идентификатор KUMA из поля Client ID в ADFS.
4. В поле Идентификатор доверенной стороны укажите идентификатор KUMA из поля Relying party identifiers в ADFS.
5. Укажите URI для получения метаданных Connect из поля Connect Metadata URI. Параметр состоит из хоста, на котором расположен ADFS (https://adfs.example.com), и настройки endpoint (/adfs/.well-known/openid-configuration).

   Например, https://adfs.example.com/adfs/.well-known/openid-configuration).

6. Укажите URL для перенаправления из ADFS из поля Redirect URL в ADFS. Значение поля Redirect URL в ADFS указывается при настройке Application group. В ADFS необходимо указать FQDN KUMA и подстроку </sso-callback>. В KUMA URL необходимо указать без подстроки, например, https://kuma-example:7220
7. Если вы хотите настроить доменную аутентификацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы Active Directory Federation Services, в которой состоит пользователь. Для Главного администратора дополнительные роли активированы в KUMA автоматически, поэтому их не нужно добавлять отдельно.

   В случае когда для пользователя указано несколько групп в одном тенанте, будет использована роль с наибольшими правами и дополнительными правами, если дополнительные роли были назначены.

   Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

8. Нажмите на кнопку Сохранить.

Соединение с контроллером домена Active Directory Federation Services будет настроено.

Для работы доменной аутентификации требуется также добавить группы для ролей пользователей KUMA.

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную аутентификацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В блоке параметров Группы администрирования нажмите на кнопку Добавить группы ролей.
3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную аутентификацию. Тенант Shared отображается в раскрывающемся списке, но для него нельзя назначить роль, потому что единственная роль в тенанте Shared - это дополнительная роль Доступ к общим ресурсам, а дополнительные роли в доменной аутентификации не участвуют.
4. В раскрывающемся списке Выбранные роли укажите роли для пользователя. Можно выбрать несколько ролей. Доступны следующие значения:
   • Администратор тенанта.
   • Аналитик второго уровня.
   • Аналитик первого уровня.
   • Младший аналитик.

   После того как вы выберете роли, для каждой роли появится поле фильтра для группы. Укажите DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для каждой роли. Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

   Для каждого тенанта можно задать отдельный набор фильтров для ролей.

   Если для какой-то из ролей не указан фильтр, это означает что для данной роли не указаны условия создания учетной записи через доменную аутентификацию. Выполнить аутентификацию с такой ролью невозможно.

   После первой аутентификации пользователей под доменной учетной записью в разделе Параметры → Пользователи будут созданы карточки доменных пользователей. Для доменного пользователя в карточке пользователя заблокирована возможность изменения основных ролей (Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик) и доступно добавление и удаление дополнительных ролей (Доступ к КИИ, Работа с НКЦКИ, Доступ к общим ресурсам), включая управление привязкой дополнительных ролей к тенантам. Роли назначенные в разделе Доменной аутентификации и назначенные в карточке пользователя дополняют друг друга. Для Главного администратора дополнительные роли в KUMA активированы автоматически, поэтому не нужно добавлять их отдельно. Если доменному пользователю была присвоена роль Главного администратора, а затем роль Главного администратора отозвана, дополнительные роли нужно будет заново присвоить в карточке пользователя в разделе Параметры → Пользователи.

   Вы можете указать для каждой роли только одну группу домена. Если вам нужно указать несколько групп, для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную аутентификацию с ролями Младший аналитик, Аналитик первого уровня, Аналитик второго уровня или Администратор тенанта.
6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой аутентификации пользователя информация о нем отобразится в разделе Параметры → Пользователи. Поля Логин и Пароль, полученные из домена, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной аутентификации пользователя. До истечения текущей сессии пользователь продолжает работу с действующей ролью.

Если в свойствах доменной учетной записи изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

Настройка подключения на стороне Active Directory Federation Services

В этом разделе приведены инструкции по созданию новой группы подключения и настройке правил для созданной группы подключения на стороне Active Directory Federation Services (ADFS).

На сервере должна быть уже настроена роль ADFS.

Создание новой группы подключения

1. В Server Manager в меню Tools выберите ADFS Management.

   В ADFS выберите раздел Application groups и в разделе Actions нажмите Add Application Group.

2. В открывшемся окне Add Application Group Wizard в разделе Welcome в поле Name укажите имя новой группы подключения. Пример: new-application-group.

   В поле Template в группе Client-Server applications выберите пункт Native application accessing a web API.

   Чтобы перейти к следующему этапу создания и настройки группы подключения, нажмите Next.

3. В открывшемся разделе Native application поля Name и

    Client Identifier

    заполняются автоматически.

   Значение поля Client Identifier понадобится указать в KUMA в поле Client Identifier при настройке доменной аутентификации.

   В поле

    

   Redirect URI введите URI для перенаправления из ADFS с обязательным указанием подстроки /sso-callback и нажмите Add. Пример: https://adfs.example.com:7220/sso-callback

   Чтобы перейти к следующему этапу настройки, нажмите Next.

4. В открывшемся разделе Configure Web API в поле Identifiers добавьте идентификатор доверенной стороны и нажмите Add. Значение может быть любым. Пример: test-demo

   Значение поля Identifier понадобится указать в KUMA в поле Relying party identifiers при настройке доменной аутентификации.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

5. В открывшемся разделе Apply Access Control Policy выберите значение политики Permit everyone.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

6. В открывшемся разделе Configure Application Permissions поле Client application заполняется автоматически.

   В поле Permitted scopes установите флажок для опций allatclaims и openid.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

7. В открывшемся разделе Summary проверьте настройки.

   Если настройки верны и вы готовы добавить группу, нажмите Next.

Новая группа добавлена. Вы можете перейти к настройке правил для созданной группы.

Добавление правил для группы подключения

1. В Server Manager в меню Tools выберите ADFS Management.

   В ADFS выберите раздел Application groups и в открывшемся окне выберите из списка необходимую группу подключения. Пример: new-application-group.

2. В окне Application groups в разделе Actions нажмите Properties.

   В открывшемся окне new-application-group Properties в разделе Applications выберите двойным нажатием new-application-group - Web API.

   В открывшемся окне new-application-group - Web API Properties перейдите на вкладку 

   Issuance Transform Rules

    и нажмите Add rule.

   В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send LDAP Attributes as Claims.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

3. В разделе Configure Claim Rule в поле Claim rule name укажите имя правила. Пример: rule-name-01.

   В раскрывающемся списке Attribute store выберите Active directory.

   В поле Mapping of LDAP attributes to outgoing claim types сопоставьте следующие поля:

   LDAP Attribute	Outgoing Claim Type
   User-Principal-Name	userPrincipalName
   Display-Name	displayName
   E-Mail-Addresses	mail
   Is-Member-Of-DL	MemberOf

   Чтобы завершить настройку, нажмите Finish.

4. Вернитесь к окну new-application-group – Web API Properties перейдите на вкладку 

   Issuance Transform Rules

    и нажмите Add rule. В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send claims using a custom rule.

   Чтобы продолжить настройку, нажмите Next.

5. В разделе Configure Claim Rule в поле Claims rule name укажите имя правила. Пример: rule-name-02.

   В поле Custom rule укажите следующие параметры: 

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("ObjectGUID"), query = ";ObjectGUID;{0}", param = c.Value);

   Чтобы завершить настройку, нажмите Finish.

6. Система выполнит переход к окну new-application-group – Web API Properties и вкладке Issuance Transform Rules.

   Чтобы применить правила, на открывшейся вкладке Issuance Transform Rules нажмите Apply или OK.

Настройка групп и правил в ADFS завершена. Вы можете переходить к настройке доменной аутентификации в KUMA.

Устранение ошибки Access denied

При попытке входа в KUMA через ADFS может появляться всплывающее сообщение Access denied или Недостаточно прав. В журнале ядра KUMA будет отображаться ошибка Data source certificate has been changed.

Эта ошибка свидетельствует о том, что изменился сертификат ADFS. Чтобы исправить ошибку и возобновить доменную аутентификацию, следует в настройках соединения с контроллером домена нажать на кнопку Сбросить сертификат. Новый сертификат будет сформирован автоматически.

Интеграция с НКЦКИ

Вы можете создать в веб-интерфейсе KUMA подключение к Национальному координационному центру по компьютерным инцидентам (далее "НКЦКИ"). Это позволит вам экспортировать в него инциденты, зарегистрированные в KUMA. Интеграция настраивается в разделе Параметры → НКЦКИ веб-интерфейса KUMA.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Чтобы создать подключение к НКЦКИ:

1. Откройте раздел веб-интерфейса KUMA Параметры → НКЦКИ.
2. В поле URL введите URL, по которому доступен НКЦКИ.
3. В блоке параметров Корневой CA создайте или выберите существующий секрет:
   • Если у вас уже есть секрет, его можно выбрать в раскрывающемся списке.
   • Если вы хотите создать новый секрет:
     1. Нажмите на кнопку и укажите следующие параметры:
        • Название (обязательно) – уникальное имя создаваемого ресурса. Название должно содержать от 1 до 128 символов в кодировке Unicode.
        • Тип (обязательно) – тип секрета.
        • Файл сертификата – нажмите кнопку Загрузить файл сертификата и выберите сертификат промежуточного удостоверяющего центра, скачанный и установленный на сервере Ядра KUMA.

          Скачать и установить сертификат промежуточного удостоверяющего центра.

          Чтобы установить и сделать доверенным сертификат промежуточного удостоверяющего центра на сервере Ядра KUMA:

          1. Перейдите по ссылке личного кабинета в НКЦКИ. Например, https://lk.cert.gov.ru.
          2. Правой кнопкой мыши вызовите контекстное меню View site details слева от ссылки в адресной строке.
             • Если вы используете защищенное соединение, в открывшемся контекстном меню выберите пункт Connection is secure и раскрывшемся списке в пункте Certificate is valid нажмите кнопку перехода Show certificate.
             • Если вы используете незащищенное соединение, в открывшемся меню нажмите Certificate details.

             В зависимости от браузера расположение меню и порядок пунктов могут отличаться.

          3. В открывшемся окне Certificate Viewer в блоке Issued By в поле Common Name (CN) указано имя нужного сертификата. Например, GlobalSign GCC R6 AlphaSSL CA 2023.

             Запомните имя сертификата, его необходимо будет скачать в следующем шаге.

          4. Перейдите по ссылке https://support.globalsign.com/ca-certificates/intermediate-certificates/alphassl-intermediate-certificates, найдите сертификат из шага 3 и нажмите View as BASE64.
          5. Скопируйте отобразившиеся на экране строки сертификата в файл и добавьте файл со строчками сертификата в качестве секрета в KUMA.
          6. После установки сертификата перезапустите сервер Ядра KUMA.

          В результате сертификат установлен и вы можете продолжить настройку интеграции.

        • Описание – описание сервиса: до 256 символов в кодировке Unicode.
     2. Нажмите Сохранить.

     Секрет с сертификатом промежуточного удостоверяющего центра создан. Он хранится в разделе Ресурсы → Секреты и принадлежит главному тенанту.

   Выбранный секрет можно изменить, нажав на кнопку .

4. В блоке параметров Токен создайте или выберите существующий секрет с API-токеном, который был выдан вашей организации для подключения к НКЦКИ:
   • Если у вас уже есть секрет, его можно выбрать в раскрывающемся списке.
   • Если вы хотите создать новый секрет:
     1. Нажмите на кнопку и укажите следующие параметры:
        • Название (обязательно) – уникальное имя создаваемого ресурса. Название должно содержать от 1 до 128 символов в кодировке Unicode.
        • Токен (обязательно) – токен, который был выдан вашей организации для подключения к НКЦКИ.
        • Описание – описание сервиса: до 256 символов в кодировке Unicode.
     2. Нажмите Сохранить.

     Секрет с токеном для подключения к НКЦКИ создан. Он хранится в разделе Ресурсы → Секреты и принадлежит главному тенанту.

   Выбранный секрет можно изменить, нажав на кнопку .

5. При необходимости в блоке параметров Прокси-сервер создайте или выберите существующий прокси-сервер, который должен использоваться при подключении к НКЦКИ.
6. В раскрывающемся списке Сфера деятельности компании выберите сферу, в которой работает ваша организация.

   Доступные сферы деятельности компании

   • Атомная энергетика
   • Банковская сфера и иные сферы финансового рынка
   • Горнодобывающая промышленность
   • Государственная/муниципальная власть
   • Здравоохранение
   • Металлургическая промышленность
   • Наука
   • Оборонная промышленность
   • Образование
   • Ракетно-космическая промышленность
   • Связь
   • СМИ
   • Топливно-энергетический комплекс
   • Транспорт
   • Химическая промышленность
   • Иная
7. В поле Название компании укажите название вашей компании. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.
8. С помощью раскрывающегося списка Местоположение укажите, где располагается ваша компания. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.
9. Нажмите Сохранить.

KUMA интегрирована с НКЦКИ. Теперь вы можете экспортировать в него инциденты. Вы можете нажать на кнопку Проверить подключение, чтобы убедиться, что с НКЦКИ устанавливается соединение.

Интеграцию можно включить или выключить с помощью флажка Выключено.

Возможные ошибки

Если при настройке интеграции с НКЦКИ возвращается ошибка "https://lk.cert.gov.ru/api/v2/incidents? x509: certificate signed by unknown authority", скачайте и установите сертификат промежуточного удостоверяющего центра на сервер Ядра KUMA.

Интеграция с Security Orchestration Automation and Response Platform (SOAR)

Security Orchestration Automation and Response Platform (далее SOAR) – это программная платформа для автоматизации мониторинга, обработки и реагирования на инциденты информационной безопасности. Она объединяет данные о киберугрозах из различных источников в единую базу данных для дальнейшего анализа и расследования, что позволяет облегчить реагирование на инциденты.

SOAR можно интегрировать с KUMA. После настройки интеграции в SOAR можно выполнять следующие задачи:

• Запрашивать из KUMA сведения об алертах. При этом в SOAR по полученным данным создаются инциденты.
• Отправлять в KUMA запросы на закрытие алертов.

Интеграция реализована с помощью KUMA REST API. На стороне Security Vision IRP интеграция осуществляется с помощью преднастроенного коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика SOAR.

Работа с инцидентами SOAR

Инциденты SOAR, созданные на основе данных об алертах KUMA, можно просмотреть в SOAR в разделе Инциденты → Инциденты (2 линии) → Все инциденты (2 линии). В каждый инцидент SOAR записываются события, относящиеся к алертам KUMA. Импортированные события можно просмотреть на вкладке Реагирование.

Алерт KUMA, импортированный в SOAR в качестве инцидента

Настройка интеграции в KUMA

Для того чтобы настроить интеграцию KUMA и SOAR необходимо настроить авторизацию API-запросов в KUMA. Для этого требуется создать токен для пользователя KUMA, от имени которого будут обрабатываться API-запросы на стороне KUMA.

Токен можно сгенерировать в профиле своей учетной записи. Пользователи с ролью главный администратор могут генерировать токены в учетных записях других пользователей. Вы всегда можете сгенерировать новый токен.

Чтобы сгенерировать токен в профиле своей учетной записи:

1. В веб-интерфейсе KUMA в левом нижнем углу окна нажмите на имя учетной записи пользователя и в открывшемся меню нажмите на кнопку Профиль.

   Откроется окно Пользователь с параметрами вашей учетной записи.

2. Нажмите на кнопку Сгенерировать токен.
3. В открывшемся окне скопируйте созданный токен. Он потребуется для настройки SOAR.

   При закрытии окна токен больше не отображается, и, если вы его не скопировали, потребуется сгенерировать новый токен.

Сгенерированный токен требуется указать в параметрах коннектора SOAR.

Настройка интеграции в SOAR

Настройка интеграции в SOAR заключается в импорте и настройке коннектора. При необходимости можно также изменить другие параметры SOAR, связанные с обработкой данных KUMA: например, расписание обработки данных и рабочий процесс.

Более подробные сведения о настройке SOAR см. в документации продукта.

Импорт и настройка коннектора

Добавление коннектора в SOAR

Интеграция SOAR и KUMA осуществляется с помощью коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика SOAR.

Чтобы импортировать коннектор Kaspersky KUMA в SOAR:

1. В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в SOAR.

2. В верхней части экрана нажмите на кнопку импорта и выберите zip-архив с коннектором Kaspersky KUMA.

Коннектор импортирован в SOAR и готов к настройке.

Настройка в коннекторе подключения к KUMA

Для использования коннектора нужно настроить его подключение к KUMA.

Чтобы настроить в SOAR подключение к KUMA с помощью коннектора Kaspersky KUMA:

1. В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в вашу SOAR.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие параметры коннектора.

3. В разделе Параметры коннектора нажмите на кнопку Редактировать.

   Отобразится конфигурация коннектора.

4. В поле URL укажите адрес и порт KUMA. Например, kuma.example.com:7223.
5. В поле Token укажите API-токен пользователя KUMA.

Подключение к KUMA настроено в коннекторе SOAR.

Настройки коннектора Security Vision IRP

Настройка в коннекторе SOAR команд для взаимодействия с KUMA

С помощью SOAR можно получать сведения об алертах KUMA (или инцидентах в терминологии SOAR), а также отправлять запросы на их закрытие. Для выполнения этих действий в коннекторе SOAR нужно настроить соответствующие команды.

В инструкциях ниже описано, как добавить команды на получение и закрытие алертов, однако при необходимости реализовать более сложную логику взаимодействия SOAR и KUMA вы можете аналогичным образом создать команды с другими API-запросами.

Чтобы настроить команду на получение из KUMA сведений об алертах:

1. В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в SOAR.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие настройки коннектора.

3. Нажмите на кнопку +Команда.

   Откроется окно создания команды.

4. Укажите параметры команды для получения алертов:
   • В поле Наименование введите название команды: Получение инцидентов.
   • В раскрывающемся списке Тип запроса выберите GET.
   • В поле Вызываемый метод введите API-запрос на поиск алертов:

     api/v1/alerts/?withEvents&status=new

   • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
   • В раскрывающемся списке Тип контента выберите application/json.
5. Сохраните команду и закройте окно.

Команда коннектора настроена. При этой команды коннектор SOAR будет запрашивать в KUMA сведения обо всех алертах со статусом Новый и всех относящихся к ним событиях. Полученные данные будут передаваться в обработчик SOAR, который на их основе будет создавать инциденты SOAR. Если алерт уже был импортирован в SOAR, но в нем появились новые данные, сведения о нем будут обновлены в SOAR.

Чтобы настроить команду на закрытие алертов KUMA:

1. В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в SOAR.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие настройки коннектора.

3. Нажмите на кнопку +Команда.

   Отобразится окно создания команды.

4. Укажите параметры команды для получения алертов:
   • В поле Наименование введите название команды: Закрытие инцидента.
   • В раскрывающемся списке Тип запроса выберите POST.
   • В поле Вызываемый метод введите API-запрос на закрытие алерта:

     api/v1/alerts/close

   • В поле Запрос введите содержимое отправляемого API-запроса:

     {"id":"<Идентификатор алерта>","reason":"responded"}

     Можно создать несколько команд для разных причин закрытия алертов: responded, incorrect data, incorrect correlation rule.

   • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
   • В раскрывающемся списке Тип контента выберите application/json.
5. Сохраните команду и закройте окно.

Команда коннектора настроена. При выполнении этой команды в SOAR будет закрыт инцидент, а в KUMA будет закрыт соответствующий ему алерт.

Создание команд в SOAR

После настройки коннектора SOAR алерты KUMA будут поступать в платформу в виде инцидентов SOAR. Далее необходимо настроить обработку инцидентов в SOAR в соответствии с существующей в вашей организации политикой безопасности.

Настройка обработчика, расписания и рабочего процесса

Обработчик SOAR

Обработчик SOAR принимает от коннектора SOAR данные об алертах KUMA и создает на их основе инциденты SOAR. Для обработки используется предустановленный обработчик KUMA (Инциденты). Настройки обработчика KUMA (Инциденты) доступны в SOAR в разделе Настройки → Обработка событий → Обработчики событий:

• Правила обработки алертов KUMA можно просмотреть в настройках обработчика на вкладке Нормализация.
• Действия при создании новых объектов можно просмотреть в настройках обработчика на вкладке Действия для создания объектов типа Инцидент (2 линии).

Расписание запуска обработчика

Запуск коннектора и обработчика выполняется по предустановленному расписанию KUMA. Настройка этого расписания доступна в SOAR в разделе Настройки → Обработка событий → Расписание:

• В блоке параметров Настройки коннектора можно настроить параметры запуска коннектора.
• В блоке параметров Настройки обработки можно настроить параметры запуска обработчика.

Рабочий процесс SOAR

Жизненный цикл инцидентов SOAR, созданных на основе алертов KUMA, проходит по преднастроенному процессу Обработка инц. (2 линии). Настройка рабочего процесса доступна в SOAR в разделе Настройки → Рабочие процессы → Шаблоны рабочих процессов: выберите процесс Обработка инц. (2 линии) и нажмите на транзакцию или состояние, которое необходимо изменить.

Интеграция с KICS/KATA

Kaspersky Industrial CyberSecurity for Networks (далее "KICS/KATA") – программа для защиты инфраструктуры промышленных предприятий от угроз информационной безопасности и для обеспечения непрерывности технологических процессов. Программа анализирует трафик промышленной сети для выявления отклонений в значениях технологических параметров, обнаружения признаков сетевых атак, контроля работы и текущего состояния устройств в сети.

KICS/KATA версии 4.0 и выше можно интегрировать с KUMA. После настройки интеграции в KUMA можно выполнять следующие задачи:

• Импортировать из KICS/KATA в KUMA сведения об активах.
• Отправлять из KUMA в KICS/KATA команды на изменение статусов активов.

В отличие от KUMA, в KICS/KATA активы называются устройствами.

Интеграцию KICS/KATA и KUMA необходимо настроить на стороне обеих программ:

1. В KICS for Networks необходимо создать коннектор KUMA и сохранить файл свертки этого коннектора.
2. В KUMA с помощью файла свертки коннектора создается подключение к KICS/KATA.

Описываемая в этом разделе интеграция касается импорта сведений об активах. KICS/KATA можно также настроить на отправку событий в KUMA. Для этого необходимо в KICS/KATA создать коннектор типа SIEM/Syslog, а на стороне KUMA – настроить коллектор.

Настройка интеграции в KICS for Networks

Интеграция поддерживается с KICS for Networks версий 4.0 и выше.

Настройку интеграции KICS for Networks и KUMA рекомендуется проводить после завершения режима обучения правилам контроля процесса. Подробнее см. в документации KICS for Networks.

На стороне KICS for Networks настройка интеграции заключается в создании коннектора типа KUMA. В KICS for Networks коннекторы – это специальные программные модули, которые обеспечивают обмен данными KICS for Networks со сторонними системами, в том числе с KUMA. Подробнее о создании коннекторов см. в документации KICS for Networks.

При добавлении в KICS for Networks коннектора автоматически создается файл свертки для этого коннектора. Это зашифрованный файл конфигурации для подключения к KICS for Networks, который используется при настройке интеграции на стороне KUMA.

Настройка интеграции в KUMA

Настройку интеграции KICS for Networks и KUMA рекомендуется проводить после завершения режима обучения правилам контроля процесса. Подробнее см. в документации KICS for Networks.

Чтобы настроить в KUMA интеграцию с KICS/KATA:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Industrial CyberSecurity for Networks.

   Откроется окно Интеграция с KICS/KATA по тенантам.

2. Выберите или создайте тенант, для которого хотите создать интеграцию с KICS for Networks.

   Откроется окно Интеграция с KICS/KATA.

3. Нажмите на поле Файл свертки и выберите файл свертки коннектора, созданный в KICS for Networks.
4. В поле Пароль файла свертки введите пароль файла свертки.
5. Установите флажок Включить реагирование, если вы хотите изменять статусы активов KICS for Networks с помощью правил реагирования KUMA.
6. Нажмите Сохранить.

В KUMA настроена интеграция с KICS/KATA, в окне отображается IP-адрес узла, на котором будет работать коннектор KICS/KATA, а также его идентификатор.

Включение и выключение интеграции c KICS for Networks

Чтобы включить или выключить для тенанта интеграцию c KICS for Networks:

1. Откройте раздел Параметры → KICS/KATA веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить интеграцию с KICS for Networks.

   Откроется окно Интеграция с KICS/KATA.

2. Установите или снимите флажок Выключено.
3. Нажмите Сохранить.

Изменение частоты обновления данных

KUMA обращается к KICS for Networks для обновления сведений об активах. Это происходит в следующих случаях:

• Сразу после создания новой интеграции.
• Сразу после изменения параметров существующей интеграции.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 3 часа.
• При создании пользователем задачи на обновление данных об активах.

При обращении к KICS for Networks создается задача в разделе Диспетчер задач веб-интерфейса KUMA.

Чтобы изменить расписание импорта сведений об активах KICS for Networks:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → KICS/KATA.
2. Выберите нужный тенант.

   Откроется окно Интеграция с KICS/KATA.

3. В поле Период обновления данных укажите требуемую частоту в часах. Значение по умолчанию – 3.

Расписание импорта изменено.

Особенности импорта информации об активах из KICS for Networks

Импорт активов

Активы импортируются в соответствии с правилами импорта активов. Импортируются только активы со статусами Разрешенное и Неразрешенное.

Активы KICS for Networks идентифицируются по комбинации следующих параметров:

• IP-адрес экземпляра KICS for Networks, с которым настроена интеграция.
• Идентификатор коннектора KICS for Networks, с помощью которого настроена интеграция.
• Идентификатор, присвоенный активу (или "устройству") в экземпляре KICS for Networks.

Импорт сведений об уязвимостях

При импорте активов в KUMA также поступают сведения об активных уязвимостях KICS for Networks. Если в KICS for Networks уязвимость была помечена как устраненная или незначительная, сведения о ней удаляются из KUMA при следующем импорте.

Сведения об уязвимостях активов отображаются в окне Информация об активе в блоке параметров Уязвимости на языке локализации KICS for Networks.

В KICS for Networks уязвимости называются рисками и разделяются на несколько типов. В KUMA импортируются все типы рисков.

Срок хранения импортированных данных

Если сведения о ранее импортированном активе перестают поступать из KICS for Networks, актив удаляется по прошествии 30 дней.

Изменение статуса актива KICS for Networks

После настройки интеграции вы можете менять статусы активов KICS for Networks из KUMA. Статусы можно менять автоматически и вручную.

Статусы активов можно менять, только если вы включили реагирование в настройках подключения к KICS for Networks.

Изменение статуса актива KICS for Networks вручную

Пользователи с ролями Главный Администратор, Администратор тенанта и Аналитик второго уровня в доступных им тенантах могут вручную менять статусы активов, импортированных из KICS for Networks.

Чтобы вручную изменить статус актива KICS for Networks:

1. В разделе Активы веб-интерфейса KUMA нажмите на актив, который вы хотите изменить.

   В правой части окна откроется область Информация об активе.

2. В раскрывающемся списке Статус KICS/KATA выберите статус, который необходимо присвоить активу KICS for Networks. Доступны статусы Разрешенное или Неразрешенное.

Статус актива изменен. Новый статус отображается в KICS for Networks и в KUMA.

Изменение статуса актива KICS for Networks автоматически

Автоматическое изменение статусов активов KICS for Networks реализовано с помощью правил реагирования. Правила необходимо добавить в коррелятор, который будет определять условия их срабатывания.

Интеграция с NeuroDAT SIEM IM

Система NeuroDAT SIEM IM предназначена для мониторинга информационной безопасности.

Вы можете настроить передачу событий KUMA в NeuroDAT SIEM IM. На основе поступающих событий и правил корреляции в системе NeuroDAT SIEM IM автоматически формируются инциденты информационной безопасности.

Чтобы настроить интеграцию с NeuroDAT SIEM IM:

1. Подключитесь к серверу NeuroDAT SIEM IM по протоколу SSH под учётной записью с административными привилегиями.
2. Создайте резервную копию конфигурационного файла /opt/apache-tomcat-<версия сервера>/conf/neurodat/soz_settings.properties.
3. В конфигурационном файле /opt/apache-tomcat-<версия сервера>/conf/neurodat/soz_settings.properties установите указанные значения для следующих параметров:
   • kuma.on=true

     Этот параметр является признаком взаимодействия с NeuroDAT SIEM IM с KUMA.

   • job_kuma=com.cbi.soz.server.utils.scheduler.KumaIncidentsJob
   • jobDelay_kuma=5000
   • jobPeriod_kuma=60000
4. Сохраните изменения конфигурационного файла.
5. Перезапустите сервис tomcat с помощью команды:

   sudo systemctl restart tomcat

6. Получите токен для пользователя в KUMA. Для этого выполните следующие действия:
   1. Откройте веб-интерфейс KUMA, в левом нижнем углу окна нажмите на имя учетной записи пользователя и в открывшемся меню нажмите на кнопку Профиль.

      Откроется окно Пользователь с параметрами вашей учетной записи.

   2. Нажмите на кнопку Сгенерировать токен.

      Откроется окно Новый токен.

   3. Если требуется, установите срок действия токена:
      • Установите флажок Без окончания срока действия.
      • В поле Срок действия с помощью календаря укажите дату и время истечения срока действия создаваемого токена.
   4. Нажмите на кнопку Сгенерировать токен.

      В области деталей пользователя отобразится поле Токен с автоматически созданным токеном. Скопируйте его.

      При закрытии окна токен больше не отображается, и, если вы его не скопировали, потребуется сгенерировать новый токен.

   5. Нажмите Сохранить.
7. Войдите в NeuroDAT SIEM IM под учетной записью admin или другой учётной записью, обладающей ролью Администратор для настраиваемой организации или Администратор всех организаций.
8. В пункте меню Администрирование → Структура организации выберите или создайте организацию, которая будет получать инциденты из KUMA.
9. На форме организации выполните следующие действия:
   1. Установите флажок Настроить интеграцию с KUMA.
   2. В поле IP адрес и сетевой порт KUMA укажите адрес API KUMA, например https://192.168.58.27:7223/api/v1/.
   3. В поле Ключ API KUMA укажите токен пользователя, полученный на шаге 6.
   4. Сохраните данные организации.

Настройка интеграции с KUMA будет завершена.

NeuroDAT SIEM IM выполнит проверку доступа к KUMA и в случае успеха отобразит сообщение о готовности получать данные из KUMA.

Интеграция с Kaspersky Automated Security Awareness Platform

Kaspersky Automated Security Awareness Platform (далее также "ASAP") – это платформа для онлайн-обучения, с помощью которой пользователи смогут усвоить правила соблюдения информационной безопасности, узнать о связанных с ней угрозах, подстерегающих их в ежедневной деятельности, и потренироваться на практических примерах.

Платформу ASAP можно интегрировать с KUMA. После настройки интеграции в KUMA можно выполнять следующие задачи:

• Менять группы обучения пользователей.
• Просматривать информацию пользователей о пройденных курсах и полученных сертификатах.

Интеграция ASAP и KUMA заключается в настройте API-подключения к платформе ASAP. Процесс происходит в обоих продуктах:

1. В ASAP необходимо создать токен для авторизации API-запросов и получить адрес для API-запросов.
2. В KUMA необходимо указать адрес для API-запросов в ASAP, добавить токен для авторизации API-запросов, а также указать адрес электронной почты администратора ASAP для получения уведомлений.

Создание токена в ASAP и получение ссылки для API-запросов

Для авторизации API-запросов из KUMA в ASAP их необходимо подписывать токеном, созданном в платформе ASAP. Только администраторы компании могут создать токены.

Создание токена

Чтобы создать токен:

1. Войдите в веб-интерфейс платформы ASAP.
2. В разделе Контрольная панель нажмите на кнопку Импорт и синхронизация, а затем откройте вкладку Open API.
3. Нажмите на кнопку Новый токен и в открывшемся окне выберите методы API, используемые при интеграции:
   • GET /openapi/v1/groups
   • POST /openapi/v1/report
   • PATCH /openapi/v1/user/:userid
4. Нажмите на кнопку Сгенерировать токен.
5. Скопируйте токен и сохраните его любым удобным для вас способом: этот токен потребуется указать при настройке интеграции в KUMA.

Токен не хранится в системе ASAP в открытом виде. После закрытия окна Получить токен он становится недоступным для просмотра. Если вы закрыли это окно, не скопировав токен, вам требуется нажать на кнопку Новый токен повторно, чтобы система сгенерировала новый токен.

Выпущенный токен действителен в течение 12 месяцев. По истечении этого срока токен будет отозван. Выпущенный токен будет также отозван, если он не используется в течении 6 месяцев.

Получение ссылки для API-запросов

Чтобы получить ссылку, используемую в ASAP для API-запросов:

1. Войдите в веб-интерфейс платформы ASAP.
2. В разделе Контрольная панель нажмите на кнопку Импорт и синхронизация, а затем откройте вкладку Open API.
3. Ссылка для обращения к ASAP через Open API расположена в нижней части окна. Скопируйте ее и сохраните любым удобным для вас способом: эту ссылку потребуется указать при настройке интеграции в KUMA.

Настройка интеграции в KUMA

Чтобы настроить в KUMA интеграцию с ASAP:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Automated Security Awareness Platform.

   Откроется окно Интеграция с Kaspersky Automated Security Awareness Platform.

2. В поле Секрет с помощью значка плюса () создайте секрет типа token, указав в нем токен, полученный в платформе ASAP:
   1. В поле Название введите название для секрета. Должно содержать от 1 до 128 символов в кодировке Unicode.
   2. В поле Токен введите токен для авторизации API-запросов в ASAP.
   3. При необходимости добавьте описание секрета в поле Описание.
   4. Нажмите Сохранить.
3. В поле URL для OpenAPI ASAP укажите адрес, используемый платформой ASAP для API-запросов.
4. В поле Адрес электронной почты администратора ASAP укажите адрес электронной почты администратора ASAP, который должен получать уведомления при добавлении пользователей в группы обучения через KUMA.
5. При необходимости в раскрывающемся списке Прокси-сервер выберите ресурс прокси-сервера, который следует использовать для подключения к платформе ASAP.
6. При необходимости выключить или включить интеграцию с ASAP установите или снимите флажок Выключено.
7. Нажмите Сохранить.

В KUMA настроена интеграция с ASAP. Теперь при просмотре информации об алертах и инцидентах можно выбрать относящихся к ним пользователей, чтобы просмотреть, какие курсы обучения прошли пользователи, а также изменить их группу обучения.

Просмотр данных о пользователях ASAP и изменение учебных групп

После настройки интеграции ASAP и KUMA в алертах и инцидентах при просмотре данных о связанных с ними пользователях становятся доступны данные из ASAP:

• Сведения об учебной группе, к которой принадлежит пользователь.
• Сведения о пройденных курсах.
• Сведения о запланированном обучении и текущем прогрессе.
• Сведения о полученных сертификатах.

Чтобы просмотреть данные о пользователе из ASAP:

1. В веб-интерфейсе KUMA в разделе Алерты или Инциденты выберите нужный алерт или инцидент.
2. В разделе Связанные пользователи нажмите на нужную учетную запись.

   В правой части экрана откроется окно Информация об учетной записи.

3. Выберите вкладку Данные о курсах ASAP.

В окне отображаются данные пользователя из ASAP.

Вы можете изменить учебную группу пользователя ASAP.

Чтобы изменить учебную группу ASAP:

1. В веб-интерфейсе KUMA в разделе Алерты или Инциденты выберите нужный алерт или инцидент.
2. В разделе Связанные пользователи нажмите на нужную учетную запись.

   В правой части экрана откроется окно Информация об учетной записи.

3. В раскрывающемся списке Присвоить пользователю группу ASAP выберите учебную группу ASAP, в которую вы хотите поместить пользователя.
4. Нажмите Применить.

Пользователь будет перемещен в выбранную группу ASAP, администратор компании платформы ASAP получит уведомление об изменении состава учебных групп, а для выбранной учебной группы начнет пересчитываться учебный план.

Подробнее об учебных группах и начале обучения см. в документации ASAP.

Отправка уведомлений в Telegram

Эта интеграция является примером и может потребовать дополнительной настройки в зависимости от используемых версий и особенностей инфраструктуры.
Совместимость подтверждена только для версии KUMA 2.0 и выше.
Условия премиальной технической поддержки не распространяются на эту интеграцию, запросы на поддержку рассматриваются без гарантированного времени ответа.

Вы можете настроить отправку уведомлений в Telegram о срабатывании правил корреляции KUMA. Это позволит уменьшить время реакции на угрозы и при необходимости расширить круг информированных лиц.

Настройка отправки уведомлений в Telegram состоит из следующих этапов:

1. Создание и настройка бота в Telegram

   Уведомления о срабатывании правил корреляции отправляет специально созданный бот. Он может отправлять уведомления в личный или групповой чат Telegram.

2. Создание скрипта для отправки уведомлений

   Вам необходимо создать скрипт и сохранить его на сервере, где установлен коррелятор.

3. Настройка отправки уведомлений в KUMA

   Настройте правило реагирования KUMA, запускающее скрипт для отправки уведомлений, и добавьте это правило в коррелятор.

Создание и настройка бота в Telegram

Чтобы создать и настроить бот в Telegram:

1. В приложении Telegram найдите бот BotFather и откройте чат с ним.
2. В чате нажмите на кнопку Старт.
3. Создайте новый бот при помощи команды:

   /newbot

4. Введите имя бота.
5. Введите логин бота.

   Бот будет создан. Вы получите ссылку на чат вида t.me/<логин бота> и токен для обращения к боту.

6. Если вы хотите использовать бота в групповом чате,а не в личных сообщениях, необходимо изменить настройки приватности:
   1. В чате бота BotFather введите команду:

      /mybots

   2. Выберите нужный бот из списка.
   3. Нажмите Bot Settings → Group Privacy и выберите опцию Turn off.

      Бот сможет отправлять сообщения в групповые чаты.

7. Откройте чат с созданным ботом по ссылке вида t.me/<логин бота>, полученной на шаге 5, и нажмите на кнопку Старт.
8. Если вы хотите, чтобы бот отправлял личные сообщения пользователю:
   1. В чате с созданным ботом отправьте произвольное сообщение.
   2. Перейдите по ссылке https://t.me/getmyid_bot и нажмите на кнопку Старт.
   3. В ответе вы получите значение Current chat ID. Это значение понадобится при настройке отправки сообщений.
9. Если вы хотите, чтобы бот отправлял сообщения в групповой чат:
   1. Добавьте бот https://t.me/getmyid_bot в групповой чат, предназначенный для получения уведомлений от KUMA.

      Бот пришлет в групповой чат сообщение, в котором будет указано значение Current chat ID. Это значение понадобится при настройке отправки сообщений.

   2. Удалите бот из группы.
10. Отправьте тестовое сообщение через бот. Для этого в адресную строку браузера вставьте следующую ссылку:

    https://api.telegram.org/bot<token>/sendMessage?chat_id=<chat_id>&text=test

    где <token> – значение, полученное на шаге 5, <chat_id> – значение, полученное на шаге 8 или 9.

В результате в личном или групповом чате должно появиться тестовое сообщение, а в ответе браузера JSON не должен содержать ошибок.

Создание скрипта для отправки уведомлений

Чтобы создать скрипт:

1. В консоли сервера, на котором установлен коррелятор, создайте файл скрипта и добавьте в него следующие строки:

   #!/bin/bash

   set -eu

   CHAT_ID=<значение Current chat ID, полученное на шаге 8 или 9 инструкции по настройке бота Telegram>

   TG_TOKEN=<значение токена, полученное на шаге 5 инструкции по настройке бота Telegram>

   RULE=$1

   TEXT="Сработало правило <b>$RULE</b>"

   curl --data-urlencode "chat_id=$CHAT_ID" --data-urlencode "text=$TEXT" --data-urlencode "parse_mode=HTML" https://api.telegram.org/bot$TG_TOKEN/sendMessage

   Если на сервере коррелятора нет доступа к интернету, вы можете использовать прокси-сервер:

   #!/bin/bash

   set -eu

   CHAT_ID=<значение Current chat ID, полученное на шаге 8 или 9 инструкции по настройке бота Telegram>

   TG_TOKEN=<значение токена, полученное на шаге 5 инструкции по настройке бота Telegram>

   RULE=$1

   TEXT="Сработало правило <b>$RULE</b>"

   PROXY=<адрес и порт прокси-сервера>

   curl --proxy $PROXY --data-urlencode "chat_id=$CHAT_ID" --data-urlencode "text=$TEXT" --data-urlencode "parse_mode=HTML" https://api.telegram.org/bot$TG_TOKEN/sendMessage

2. Сохраните скрипт в директорию коррелятора, расположенную по пути /opt/kaspersky/kuma/correlator/<ID коррелятора, который будет реагировать на события>/scripts/.

   Информацию о том, как узнать ID коррелятора, см. в разделе Получение идентификатора сервиса.

3. Назначьте пользователя kuma владельцем файла и дайте права на исполнение при помощи следующих команд:

   chown kuma:kuma /opt/kaspersky/kuma/correlator/<ID коррелятора, который будет реагировать>/scripts/<имя скрипта>.sh

   chmod +x /opt/kaspersky/kuma/correlator/<ID коррелятора, который будет реагировать>/scripts/<имя скрипта>.sh

Настройка отправки уведомлений в KUMA

Чтобы настроить отправку уведомлений KUMA в Telegram:

1. Создайте правило реагирования:
   1. В веб-интерфейсе KUMA выберите раздел Ресурсы → Правила реагирования и нажмите на кнопку Добавить правило реагирования.
   2. В открывшемся окне Создание правила реагирования в поле Название укажите название правила.
   3. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
   4. В раскрывающемся списке Тип выберите Запуск скрипта.
   5. В поле Название скрипта укажите имя скрипта..
   6. В поле Аргументы скрипта укажите {{.Name}}.

      В качестве аргумента выполнения скрипта будет передаваться имя корреляционного события.

   7. Нажмите Сохранить.
2. Добавьте созданное правило реагирования в коррелятор:
   1. В разделе Ресурсы → Корреляторы выберите коррелятор, в папку которого вы поместили созданный скрипт для отправки уведомлений.
   2. В дереве шагов выберите Правила реагирования.
   3. Нажмите на кнопку Добавить.
   4. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 1 этой инструкции.
   5. В дереве шагов выберите Проверка параметров.
   6. Нажмите на кнопку Сохранить и перезапустить сервисы.
   7. Нажмите на кнопку Сохранить.

Отправка уведомлений о срабатывании правил KUMA в Telegram будет настроена.

Интеграция с UserGate

Эта интеграция является примером и может потребовать дополнительной настройки в зависимости от используемых версий и особенностей инфраструктуры.
Совместимость подтверждена только для KUMA версии 2.0 и выше и UserGate версии 6.0 и выше.
Условия премиальной технической поддержки не распространяются на эту интеграцию, запросы на поддержку рассматриваются без гарантированного времени ответа.

UserGate – решение, которое обеспечивает безопасность сетевой инфраструктуры, позволяет защитить персональные данные от рисков, связанных с внешними вторжениями, несанкционированным доступом, вирусами и вредоносными приложениями.

Интеграция с UserGate позволяет настроить автоматическую блокировку угроз по IP-адресу, URL или доменному имени при срабатывании правил реагирования KUMA.

Настройка интеграции состоит из следующих этапов:

1. Настройка интеграции в UserGate
2. Подготовка скрипта для правила реагирования
3. Настройка правила реагирования KUMA

Настройка интеграции в UserGate

Чтобы настроить интеграцию в UserGate:

1. Подключитесь к веб-интерфейсу UserGate под учетной записью администратора.
2. Перейдите в раздел UserGate → Администраторы → Профили администраторов и нажмите Добавить.
3. В окне Настройка профиля укажите имя профиля, например API.
4. На вкладке Разрешения для API добавьте разрешения на чтение и запись для следующих объектов:
   • content
   • core
   • firewall
   • nlists
5. Нажмите Сохранить.
6. В разделе UserGate → Администраторы нажмите Добавить → Добавить локального администратора.
7. В окне Свойства администратора укажите логин и пароль администратора.

   В поле Профиль администратора выберите профиль, созданный на шаге 3.

8. Нажмите Сохранить.
9. В адресной строке браузера после адреса и порта UserGate допишите ?features=zone-xml-rpc и нажмите ENTER.
10. Перейдите в раздел Сеть → Зоны и для зоны того интерфейса, через который будет осуществляться взаимодействие по API, перейдите на вкладку Контроль доступа и установите флажок рядом с сервисом XML-RPC для управления.

    В список разрешенных адресов при необходимости можно добавить IP-адрес коррелятора KUMA, по правилам корреляции которого должна срабатывать блокировка в UserGate.

11. Нажмите Сохранить.

Подготовка скрипта для интеграции с UserGate

Чтобы подготовить скрипт к использованию:

1. Скопируйте идентификатор коррелятора, по правилам корреляции которого должна срабатывать блокировка URL, IP-адреса или доменного имени в UserGate:
   1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Активные сервисы.
   2. Установите флажок рядом с коррелятором, идентификатор которого вы хотите получить, и нажмите Копировать идентификатор.

      Идентификатор коррелятора будет помещен в буфер обмена.

2. Скачайте скрипт по следующей ссылке:

   https://box.kaspersky.com/d/2dfd1d677c7547a7ac1e/

3. Откройте файл скрипта и в блоке Enter UserGate Parameters в параметрах login и password укажите данные учетной записи администратора UserGate, которая была создана на шаге 7 настройки интеграции в UserGate.
4. Разместите скачанный скрипт на сервере коррелятора KUMA по пути /opt/kaspersky/kuma/correlator/<ID коррелятора из шага 1>/scripts/.
5. Подключитесь к серверу коррелятора по протоколу SSH и перейдите по пути из шага 4 при помощи команды:

   cd /opt/kaspersky/kuma/correlator/<ID коррелятора из шага 1>/scripts/

6. Выполните команду:

   chmod +x ug.py && chown kuma:kuma ug.py

Скрипт будет готов к использованию.

Настройка правила реагирования для интеграции с UserGate

Чтобы настроить правило реагирования:

1. Создайте правило реагирования:
   1. В веб-интерфейсе KUMA выберите раздел Ресурсы → Правила реагирования и нажмите на кнопку Добавить правило реагирования.
   2. В открывшемся окне Создание правила реагирования в поле Название укажите название правила.
   3. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
   4. В раскрывающемся списке Тип выберите Запуск скрипта.
   5. В поле Название скрипта укажите имя скрипта. ug.py.
   6. В поле Аргументы скрипта укажите:
      • одну из операций в соответствии с типом блокируемого объекта:
        • blockurl – заблокировать доступ по URL;
        • blockip – заблокировать доступ по IP-адресу;
        • blockdomain – заблокировать доступ по доменному имени.
      • -i {{<поле KUMA, из которого будет взято значение блокируемого объекта, в зависимости от операции>}}

        Пример: blockurl -i {{.RequetstUrl}}

   7. В блоке Условия добавьте условия, соответствующие правилам корреляции, при срабатывании которых необходима блокировка в UserGate.
   8. Нажмите Сохранить.
2. Добавьте созданное правило реагирования в коррелятор:
   1. В разделе Ресурсы → Корреляторы выберите коррелятор, который будет выполнять реагирование и в папку которого вы поместили скрипт.
   2. В дереве шагов выберите Правила реагирования.
   3. Нажмите на кнопку Добавить.
   4. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 1 этой инструкции.
   5. В дереве шагов выберите Проверка параметров.
   6. Нажмите на кнопку Сохранить и обновить параметры сервисов.
   7. Нажмите на кнопку Сохранить.

Правило реагирования будет привязано к коррелятору и готово к использованию.

Интеграция с Kaspersky Web Traffic Security

Эта интеграция является примером и может потребовать дополнительной настройки в зависимости от используемых версий и особенностей инфраструктуры.
Совместимость подтверждена только для KUMA версии 2.0 и выше и Kaspersky Web Traffic Security версии 6.0 и выше.
Условия премиальной технической поддержки не распространяются на эту интеграцию, запросы на поддержку рассматриваются без гарантированного времени ответа.

Вы можете настроить интеграцию с системой анализа и фильтрации веб-трафика Kaspersky Web Traffic Security (далее также "KWTS").

Настройка интеграции заключается в создании правил реагирования KUMA, которые позволяют запускать задачи KWTS. Задачи должны быть предварительно созданы в веб-интерфейсе KWTS.

Настройка интеграции состоит из следующих этапов:

1. Настройка интеграции в KWTS
2. Подготовка скрипта для правила реагирования
3. Настройка правила реагирования KUMA

Настройка интеграции в KWTS

Чтобы подготовиться к интеграции в KWTS:

1. Подключитесь к веб-интерфейсу KWTS под учетной записью администратора и создайте роль с правами на просмотр и создание/изменение правила.

   Подробнее о создании роли см. справку Kaspersky Web Traffic Security.

2. Назначьте созданную роль пользователю с NTML-аутентификацией.

   Вместо этого вы можете использовать учетную запись локального администратора.

3. В разделе Правила перейдите на вкладку Доступ и нажмите Добавить правило.
4. В раскрывающемся списке Действие выберите Заблокировать.
5. В раскрывающемся списке Фильтрация трафика выберите значение URL и в поле справа укажите несуществующий или заведомо вредоносный адрес.
6. В поле Название правила укажите название правила.
7. Включите использование правила с помощью переключателя Статус.
8. Нажмите на кнопку Добавить.
9. В веб-интерфейсе KWTS откройте только что созданное правило.
10. Запишите значение ID, отображаемое в конце адреса страницы в адресной строке браузера.

    Это значение будет использовано при настройке правила реагирования в KUMA.

Подготовка к интеграции в KWTS будет завершена.

Подготовка скрипта для интеграции с KWTS

Чтобы подготовить скрипт к использованию:

1. Скопируйте идентификатор коррелятора, по правилам корреляции которого должна срабатывать блокировка URL, IP-адреса или доменного имени в KWTS:
   1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Активные сервисы.
   2. Установите флажок рядом с коррелятором, идентификатор которого вы хотите получить, и нажмите Копировать идентификатор.

      Идентификатор коррелятора будет помещен в буфер обмена.

2. Чтобы получить скрипт и библиотеку, обратитесь к сотруднику технической поддержки.
3. Разместите полученный от сотрудника технической поддержки скрипт на сервере коррелятора KUMA по пути /opt/kaspersky/kuma/correlator/<ID коррелятора из шага 1>/scripts/.
4. Подключитесь к серверу коррелятора по протоколу SSH и перейдите по пути из шага 3 при помощи команды:

   cd /opt/kaspersky/kuma/correlator/<ID коррелятора из шага 1>/scripts/

5. Выполните команду:

   chmod +x kwts.py kwtsWebApiV6.py && chown kuma:kuma kwts.py kwtsWebApiV6.py

Скрипт будет готов к использованию.

Настройка правила реагирования для интеграции с KWTS

Чтобы настроить правило реагирования:

1. Создайте правило реагирования:
   1. В веб-интерфейсе KUMA выберите раздел Ресурсы → Правила реагирования и нажмите на кнопку Добавить правило реагирования.
   2. В открывшемся окне Создание правила реагирования в поле Название укажите название правила.
   3. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
   4. В раскрывающемся списке Тип выберите Запуск скрипта.
   5. В поле Название скрипта укажите имя скрипта. kwts.py.
   6. В поле Аргументы скрипта укажите:
      • --host – адрес сервера KWTS.
      • --username – имя учетной записи пользователя, созданной в KWTS, или локального администратора.
      • --password – пароль учетной записи пользователя KWTS.
      • --rule_id – ID правила, созданного в KWTS.
      • Укажите один из ключей в соответствии с типом блокируемого объекта:
        • --url – укажите поле события KUMA, из которого вы хотите получать URL, например {{.RequestUrl}}.
        • --ip – укажите поле события KUMA, из которого вы хотите получать IP-адрес, например {{.DestinationAddress}}.
        • --domain – укажите поле события KUMA, из которого вы хотите получать доменное имя, например {{.DestinationHostName}}.
      • --ntlm – укажите этот ключ, если пользователь KWTS был создан с NTLM-аутентификацией.

        Пример: --host <address> --username <user> --password <pass> --rule_id <id> --url {{.RequestUrl}}

   7. В блоке Условия добавьте условия, соответствующие правилам корреляции, по срабатыванию которых необходима блокировка в KWTS.
   8. Нажмите Сохранить.
2. Добавьте созданное правило реагирования в коррелятор:
   1. В разделе Ресурсы → Корреляторы выберите коррелятор, который будет выполнять реагирование и в папку которого вы поместили скрипт.
   2. В дереве шагов выберите Правила реагирования.
   3. Нажмите на кнопку Добавить.
   4. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 1 этой инструкции.
   5. В дереве шагов выберите Проверка параметров.
   6. Нажмите на кнопку Сохранить и обновить параметры сервисов.
   7. Нажмите на кнопку Сохранить.

Правило реагирования будет привязано к коррелятору и готово к использованию.

Интеграция с Kaspersky Secure Mail Gateway

Эта интеграция является примером и может потребовать дополнительной настройки в зависимости от используемых версий и особенностей инфраструктуры.
Совместимость подтверждена только для KUMA версии 2.0 и выше и Kaspersky Secure Mail Gateway версии 2.0 и выше.
Условия премиальной технической поддержки не распространяются на эту интеграцию, запросы на поддержку рассматриваются без гарантированного времени ответа.

Вы можете настроить интеграцию с системой анализа и фильтрации почтового трафика Kaspersky Secure Mail Gateway (далее также "KSMG").

Настройка интеграции заключается в создании правил реагирования KUMA, которые позволяют запускать задачи KSMG. Задачи должны быть предварительно созданы в веб-интерфейсе KSMG.

Настройка интеграции состоит из следующих этапов:

1. Настройка интеграции в KSMG
2. Подготовка скрипта для правила реагирования
3. Настройка правила реагирования KUMA

Настройка интеграции в KSMG

Чтобы подготовиться к интеграции в KSMG:

1. Подключитесь к веб-интерфейсу KSMG под учетной записью администратора и создайте роль с правами на просмотр и создание/изменение правила.

   Подробнее о создании роли см. справку Kaspersky Secure Mail Gateway.

2. Назначьте созданную роль пользователю с NTML-аутентификацией.

   Вы можете использовать учетную запись локального администратора Administrator.

3. В разделе Правила нажмите Создать.
4. В левой панели выберите раздел Общие.
5. Включите использование правила с помощью переключателя Статус.
6. В поле Название правила введите название нового правила.
7. В блоке параметров Режим выберите один из вариантов обработки сообщений, соответствующий критериям этого правила.
8. В блоке параметров Отправитель на вкладке Адреса эл. почты укажите несуществующий или заведомо вредоносный адрес отправителя.
9. В блоке параметров Получатель на вкладке Адреса эл. почты укажите требуемых получателей или символ "*", чтобы выбрать всех получателей.
10. Нажмите на кнопку Сохранить.
11. В веб-интерфейсе KSMG откройте только что созданное правило.
12. Запишите значение ID, отображаемое в конце адреса страницы в адресной строке браузера.

    Это значение будет использовано при настройке правила реагирования в KUMA.

Подготовка к интеграции в KSMG будет завершена.

Подготовка скрипта для интеграции с KSMG

Чтобы подготовить скрипт к использованию:

1. Скопируйте идентификатор коррелятора, по правилам корреляции которого должна срабатывать блокировка IP-адреса или адреса электронной почты отправителя сообщения в KSMG:
   1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Активные сервисы.
   2. Установите флажок рядом с коррелятором, идентификатор которого вы хотите получить, и нажмите Копировать идентификатор.

      Идентификатор коррелятора будет помещен в буфер обмена.

2. Чтобы получить скрипт и библиотеку, обратитесь к сотруднику технической поддержки.
3. Разместите полученный от сотрудника технической поддержки скрипт на сервере коррелятора KUMA по пути /opt/kaspersky/kuma/correlator/<ID коррелятора из шага 1>/scripts/.
4. Подключитесь к серверу коррелятора по протоколу SSH и перейдите по пути из шага 3 при помощи команды:

   cd /opt/kaspersky/kuma/correlator/<ID коррелятора из шага 1>/scripts/

5. Выполните команду:

   chmod +x ksmg.py ksmgWebApiV2.py && chown kuma:kuma ksmg.py ksmgWebApiV2.py

Скрипт будет готов к использованию.

Настройка правила реагирования для интеграции с KSMG

Чтобы настроить правило реагирования:

1. Создайте правило реагирования:
   1. В веб-интерфейсе KUMA выберите раздел Ресурсы → Правила реагирования и нажмите на кнопку Добавить правило реагирования.
   2. В открывшемся окне Создание правила реагирования в поле Название укажите название правила.
   3. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
   4. В раскрывающемся списке Тип выберите Запуск скрипта.
   5. В поле Название скрипта укажите имя скрипта. ksmg.py.
   6. В поле Аргументы скрипта укажите:
      • --host – адрес сервера KSMG.
      • --username – имя учетной записи пользователя, созданной в KSMG.

        Вы можете указать учетную запись Administrator.

      • --password – пароль учетной записи пользователя KSMG.
      • --rule_id – ID правила, созданного в KSMG.
      • Укажите один из ключей в соответствии с типом блокируемого объекта:
        • --email – укажите поле события KUMA, из которого вы хотите получать email, например {{.SourceUserName}}.
        • --ip – укажите поле события KUMA, из которого вы хотите получать IP-адрес, например {{.SourceAddress}}.
      • --ntlm – укажите этот ключ, если пользователь KSMG был создан с NTLM-аутентификацией.

        Пример: --host <address> --username <user> --password <pass> --ntlm --rule_id <id> --email {{.SourceUserName}}

   7. В блоке Условия добавьте условия, соответствующие правилам корреляции, по срабатыванию которых необходима блокировка IP-адреса или адреса электронной почты отправителя сообщения в KSMG.
   8. Нажмите Сохранить.
2. Добавьте созданное правило реагирования в коррелятор:
   1. В разделе Ресурсы → Корреляторы выберите коррелятор, который будет выполнять реагирование и в папку которого вы поместили скрипт.
   2. В дереве шагов выберите Правила реагирования.
   3. Нажмите на кнопку Добавить.
   4. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 1 этой инструкции.
   5. В дереве шагов выберите Проверка параметров.
   6. Нажмите на кнопку Сохранить и обновить параметры сервисов.
   7. Нажмите на кнопку Сохранить.

Правило реагирования будет привязано к коррелятору и готово к использованию.

Импорт информации об активах из RedCheck

Эта интеграция является примером и может потребовать дополнительной настройки в зависимости от используемых версий и особенностей инфраструктуры.
Совместимость подтверждена только для KUMA версии 2.0 и выше и RedCheck версии 2.6.8 и выше.
Условия премиальной технической поддержки не распространяются на эту интеграцию, запросы на поддержку рассматриваются без гарантированного времени ответа.

RedCheck – это система контроля защищенности и управления информационной безопасностью организации.

Вы можете импортировать в KUMA сведения об активах из отчетов сканирования сетевых устройств, проведенного с помощью RedCheck.

Импорт доступен из простых отчетов "Уязвимости" и "Инвентаризация" в формате CSV, сгруппированных по хостам.

Импортированные активы отображаются в веб-интерфейсе KUMA в разделе Активы. При необходимости вы можете редактировать параметры активов.

Импорт данных происходит через API с помощью утилиты redcheck-tool.py. Для работы утилиты требуется Python версии 3.6 или выше и следующие библиотеки:

• csv;
• re;
• json;
• requests;
• argparse;
• sys.

Чтобы импортировать данные об активах из отчета RedCheck:

1. Сформируйте в RedCheck отчет о сканировании сетевых активов в формате CSV и скопируйте файл отчета на сервер со скриптом.

   Подробнее о задачах на сканирование и форматах выходных файлов см. в документации RedCheck.

2. Создайте файл с токеном для доступа к KUMA REST API.

   Учетная запись, для которой создается токен, должна отвечать следующим требованиям:

   • Роль Администратора тенанта или Аналитика второго уровня.
   • Доступ к тенанту, в который будут импортированы активы.
   • Права на использование API-запросов GET /assets, GET /tenants, POST/assets/import.
3. Скачайте скрипт по следующей ссылке:

   https://box.kaspersky.com/d/2dfd1d677c7547a7ac1e/

4. Скопируйте утилиту redcheck-tool.py на сервер с Ядром KUMA и сделайте файл утилиты исполняемым при помощи команды:

   chmod +x <путь до файла redcheck-tool.py>

5. Запустите утилиту redcheck-tool.py с помощью следующей команды:

   python3 redcheck-tool.py --kuma-rest <адрес и порт сервера KUMA REST API> --token <API-токен> --tenant <название тенанта, куда будут помещены активы> --vuln-report <полный путь к файлу отчета "Уязвимости"> --inventory-report <полный путь к файлу отчета "Инвентаризация">

   Пример: python3 --kuma-rest example.kuma.com:7223 --token 949fc03d97bad5d04b6e231c68be54fb --tenant Main --vuln-report /home/user/vuln.csv --inventory-report /home/user/inventory.csv

   Вы можете использовать дополнительные флаги и команды для импорта. Например, команду для отображения расширенного отчета о полученных активах -v. Подробное описание доступных флагов и команд приведено в таблице "Флаги и команды утилиты redcheck-tool.py". Также для просмотра информации о доступных флагах и командах вы можете использовать команду --help.

Информация об активах будет импортирована из отчета RedCheck в KUMA. В консоли будут отображаться сведения о количестве новых и обновленных активов.

Поведение утилиты при импорте активов:

• KUMA перезаписывает данные импортированных через API активов и удаляет сведения об их устраненных уязвимостях.
• KUMA пропускает активы с недействительными данными.

  Флаги и команды утилиты redcheck-tool.py

  Флаги и команды	Обязательный	Описание
  --kuma-rest <адрес и порт сервера KUMA>	Да	По умолчанию для обращения по API используется порт 7223. При необходимости его можно изменить.
  --token <токен>	Да	Значение в параметре должно содержать только токен. Учетной записи, для которой генерируется API-токен, должна быть присвоена роль Администратора тенанта или Аналитика второго уровня.
  --tenant <название тенанта>	Да	Название тенанта KUMA, в который будут импортированы активы из отчета RedCheck.
  --vuln-report <полный путь к файлу отчета "Уязвимости">	Да	Файл отчета "Уязвимости" в формате CSV.
  --inventory-report <полный путь к файлу отчета "Инвентаризация">	Нет	Файл отчета "Инвентаризация" в формате CSV.
  -v	Нет	Отображение расширенной информации об импорте активов.

  Возможные ошибки

  Сообщение об ошибке	Описание
  Tenant %w not found	Имя тенанта не найдено.
  Tenant search error: Unexpected status Code: %d	При поиске тенанта был получен неожиданный код ответа HTTP.
  Asset search error: Unexpected status Code: %d	При поиске актива был получен неожиданный код ответа HTTP.
  [%w import][error] Host: %w Skipped asset with FQDNlocalhost or IP 127.0.0.1	При импорте информации инвентаризации/уязвимостей был пропущен хост с fqdn=localhost или ip=127.0.0.1.

Настройка получения событий Sendmail

Вы можете настроить получение событий из почтового агента Sendmail в

SIEM-систему

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

Настройка получения событий состоит из следующих этапов:

1. Настройка журналирования Sendmail.
2. Настройка сервера источника событий.
3. Создание коллектора KUMA.

   Для получения событий Sendmail в мастере установки коллектора используйте следующие значения:

   • На шаге Парсинг событий выберите нормализатор [OOTB] Sendmail syslog.
   • На шаге Транспорт выберите тип коннектора tcp или udp.
4. Установка коллектора KUMA.
5. Проверка поступления событий Sendmail в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий Sendmail выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка журналирования Sendmail

По умолчанию события системы Sendmail записываются в syslog.

Чтобы убедиться в правильности настройки журналирования:

1. Подключитесь по SSH к серверу, на котором установлена система Sendmail.
2. Выполните команду:

   cat /etc/rsyslog.d/50-default.conf

   Команда должна вернуть следующую строку:

   mail.* -/var/log/mail.log

Если журналирование настроено корректно, вы можете перейти к настройке передачи событий Sendmail.

Настройка передачи событий Sendmail

Для передачи событий от сервера, на котором установлен почтовый агент Sendmail, в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий Sendmail в коллектор:

1. Подключитесь к серверу, на котором установлен Sendmail, под учетной записью с административными привилегиями.
2. В директории /etc/rsyslog.d/ создайте файл Sendmail-to-siem.conf и добавьте в него строку:

   If $programname contains 'sendmail' then @<<IP-адрес коллектора>:<порт коллектора>>

   Пример: If $programname contains 'sendmail' then @192.168.1.5:1514

   Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:

   If $programname contains 'sendmail' then @@<<IP-адрес коллектора>:<порт коллектора>>

3. Создайте резервную копию файла /etc/rsyslog.conf.
4. В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:

   $IncludeConfig /etc/Sendmail-to-siem.conf

   $RepeatedMsgReduction off

5. Сохраните внесенные изменения.
6. Перезапустите сервис rsyslog, выполнив следующую команду:

   sudo systemctl restart rsyslog.service