Интеграция с R-Vision Security Orchestration, Automation and Response

R-Vision Security Orchestration, Automation and Response (далее R-Vision SOAR) – это программная платформа для автоматизации мониторинга, обработки и реагирования на инциденты информационной безопасности. Она объединяет данные о киберугрозах из различных источников в единую базу данных для дальнейшего анализа и расследования, что позволяет облегчить реагирование на инциденты.

R-Vision SOAR можно интегрировать с KUMA. Когда интеграция включена, создание алерта в KUMA приводит к созданию инцидента в R-Vision SOAR. Алерт KUMA и инцидент R-Vision SOAR взаимосвязаны: при обновлении статуса инцидента в R-Vision SOAR статус соответствующего алерта KUMA также меняется.

Интеграция R-Vision SOAR и KUMA настраивается в обоих приложениях. На стороне KUMA настройка интеграции доступна только для главных администраторов.

Сопоставление полей алерта KUMA и инцидента R-Vision SOAR при передаче данных по API

Настройка интеграции в KUMA

В этом разделе описывается интеграция KUMA с R-Vision SOAR на стороне KUMA.

Интеграция в KUMA настраивается в разделе веб-интерфейса KUMA Параметры → IRP / SOAR.

Чтобы настроить интеграцию с R-Vision SOAR:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите на кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс будет использоваться для хранения токена для API-запросов в R-Vision SOAR.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название укажите имя для добавляемого секрета. Длина названия должна быть от 1 до 128 символов в кодировке Unicode.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
   3. В раскрывающемся списке Тип выберите token.
   4. В поле Токен введите свой API-токен для R-Vision SOAR.

      Токен можно узнать в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → API.

   5. При необходимости в поле Описание добавьте описание секрета до 4000 символов в кодировке Unicode.
4. Нажмите Сохранить.

   API-токен для R-Vision SOAR сохранен и теперь может использоваться в других ресурсах KUMA.

5. Откройте раздел веб-интерфейса KUMA Параметры → IRP / SOAR.

   Откроется окно с параметрами интеграции R-Vision SOAR.

6. Измените необходимые параметры:
   • Выключено – установите этот флажок, если хотите выключить интеграцию R-Vision SOAR с KUMA.
   • В раскрывающемся списке Секрет выберите секрет, созданный ранее.

     Можно создать новый секрет, нажав на кнопку со значком плюса. Созданный секрет будет сохранен в разделе Ресурсы → Секреты.

   • URL (обязательно) – URL хоста сервера R-Vision SOAR.
   • Название поля для размещения идентификаторов алертов KUMA (обязательно) – имя поля R-Vision SOAR, в которое будет записываться идентификатор алерта KUMA.
   • Название поля для размещения URL алертов KUMA (обязательно) – имя поля R-Vision SOAR, в которое будет помещаться ссылка на алерт KUMA.
   • Категория (обязательно) – категория алерта R-Vision SOAR, который создается при получении данных об алерте от KUMA.
   • Поля событий​ KUMA для отправки в IRP / SOAR (обязательно) – раскрывающийся список для выбора полей событий KUMA, которые следует отправлять в R-Vision SOAR.
   • Группа настроек Уровень важности (обязательно) – используется для сопоставления значений уровня важности KUMA со значениями уровня важности R-Vision SOAR.
7. Нажмите Сохранить.

В KUMA теперь настроена интеграция с R-Vision SOAR. Если интеграция также настроена в R-Vision SOAR, при появлении алертов в KUMA информация о них будет отправляться в R-Vision SOAR для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision SOAR.

Если вы работаете с несколькими тенантами и хотите интегрироваться с R-Vision SOAR, названия тенантов должны соответствовать коротким названиям компаний в R-Vision SOAR.

Настройка интеграции в R-Vision SOAR

В этом разделе описывается интеграция KUMA с R-Vision SOAR на стороне R-Vision SOAR.

Интеграция в R-Vision SOAR настраивается в разделе Настройки веб-интерфейса R-Vision SOAR. Подробнее о настройке R-Vision SOAR см. в документации этой программы.

Настройка интеграции с KUMA состоит из следующих этапов:

• Настройка роли пользователя R-Vision SOAR
  1. Присвойте используемому для интеграции пользователю R-Vision SOAR системную роль Менеджер по управлению инцидентами. Роль можно присвоить в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → Пользователи системы, выбрав нужного пользователя. Роль добавляется в блоке параметров Системные роли.

     Пользователь R-Vision SOAR версии 4.0 с ролью Менеджер по управлению инцидентами

     

     Пользователь R-Vision SOAR версии 5.0 с ролью Менеджер по управлению инцидентами

     

  2. Убедитесь, что API-токен используемого для интеграции пользователя R-Vision SOAR указан в секрете в веб-интерфейсе KUMA. Токен отображается в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → API.

     API-токен в R-Vision SOAR версии 4.0

     

     API-токен в R-Vision SOAR версии 5.0

     

• Настройка полей инцидентов R-Vision SOAR и алертов KUMA
  1. Добавьте поля инцидента ALERT_ID и ALERT_URL.
  2. Настройте категорию инцидентов R-Vision SOAR, создаваемых по алертам KUMA. Это можно сделать в веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Категории инцидентов. Добавьте новую или измените существующую категорию инцидентов, указав в блоке параметров Поля категорий созданные ранее поля инцидентов Alert ID и Alert URL. Поле Alert ID можно сделать скрытым.

     Категории инцидентов с данными из алертов KUMA в R-Vision SOAR версии 4.0

     

     Категории инцидентов с данными из алертов KUMA в R-Vision SOAR версии 5.0

     

  3. Запретите редактирование ранее созданных полей инцидентов Alert ID и Alert URL. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Представления выберите категорию инцидентов R-Vision SOAR, которые будут создаваться по алертам KUMA, и установите рядом с полями Alert ID и Alert URL значок замка.

     Поле Alert URL недоступно для редактирования в R-Vision SOAR версии 4.0

     

     Поле Alert URL недоступно для редактирования в R-Vision SOAR версии 5.0

     

• Создание коллектора и коннектора в R-Vision SOAR
  1. Создайте коллектор R-Vision SOAR для взаимодействия с KUMA.
  2. Создайте и настройте коннектор R-Vision SOAR для отправки в KUMA API-запросов на закрытие алертов.
• Создание правила на закрытие алерта в KUMA

  Создайте правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision SOAR.

В R-Vision SOAR теперь настроена интеграция с KUMA. Если интеграция также настроена в KUMA, при появлении алертов в KUMA информация о них будет отправляться в R-Vision SOAR для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision SOAR.

Добавление полей инцидента ALERT_ID и ALERT_URL

Чтобы добавить в R-Vision SOAR поле инцидента ALERT_ID:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Поля инцидентов выберите группу полей Без группы.
2. Нажмите на значок плюса в правой части экрана.

   В правой части экрана отобразится область параметров создаваемого поля инцидента.

3. В поле Наименование введите название поля, например Alert ID.
4. В раскрывающемся списке Тип выберите Текстовое поле.
5. В поле Тег для распознавания введите ALERT_ID.

Поле ALERT_ID добавлено в инцидент R-Vision SOAR.

Поле ALERT_ID в R-Vision SOAR версии 4.0

Поле ALERT_ID в R-Vision SOAR версии 5.0

Чтобы добавить в R-Vision SOAR поле инцидента ALERT_URL:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Поля инцидентов выберите группу полей Без группы.
2. Нажмите на значок плюса в правой части экрана.

   В правой части экрана отобразится область параметров создаваемого поля инцидента.

3. В поле Наименование введите название поля, например Alert URL.
4. В раскрывающемся списке Тип выберите Текстовое поле.
5. В поле Тег для распознавания введите ALERT_URL.
6. Установите флажки Отображение ссылок и Отображать URL как ссылки.

Поле ALERT_URL добавлено в инцидент R-Vision SOAR.

Поле ALERT_URL в R-Vision SOAR версии 4.0

Поле ALERT_URL в R-Vision SOAR версии 5.0

При необходимости аналогичным образом можно настроить отображение других данных из алерта KUMA в инциденте R-Vision SOAR.

Создание коллектора в R-Vision SOAR

Чтобы создать коллектор в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → Коллекторы нажмите на значок плюса.
2. В поле Название укажите название коллектора (например, Main collector).
3. В поле Адрес коллектора введите IP-адрес или название хоста, где установлена R-Vision SOAR (например, 127.0.0.1).
4. В поле Порт введите значение 3001.
5. Нажмите Добавить.
6. На вкладке Организации выберите организацию, для которой вы хотите добавить интеграцию с KUMA и установите флажки Коллектор по умолчанию и Коллектор реагирования.

Коллектор R-Vision SOAR создан.

Создание коннектора в R-Vision SOAR

Чтобы создать коннектор в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Коннекторы нажмите на значок плюса.
2. В раскрывающемся списке Тип выберите REST.
3. В поле Название укажите название коннектора, например, KUMA.
4. В поле URL введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

   Пример: https://kuma-example.com:7223/api/v1/alerts/close

5. В раскрывающемся списке Тип авторизации выберите Токен.
6. В поле Auth header введите значение Authorization.
7. В поле Auth value введите токен главного администратора KUMA в следующем формате:

   Bearer <токен главного администратора KUMA>

8. В раскрывающемся списке Коллектор выберите ранее созданный коллектор.
9. Нажмите Сохранить.

Коннектор создан.

Коннектор в R-Vision SOAR версии 4.0

Коннектор в R-Vision SOAR версии 5.0

После того как коннектор создан, требуется настроить отправку API-запросов на закрытие алертов в KUMA.

Чтобы настроить отправку API-запросов в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Коннекторы откройте созданный коннектор для редактирования.
2. В раскрывающемся списке типа запросов выберите POST.
3. В поле Params введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

   Пример, https://kuma-example.com:7223/api/v1/alerts/close

4. На вкладке HEADERS добавьте следующие ключи и их значения:
   • Ключ Content-Type; значение: application/json.
   • Ключ Authorization; значение: Bearer <токен главного администратора KUMA>.

     Токен главного администратора KUMA можно получить в веб-интерфейсе KUMA в разделе Параметры → Пользователи.

5. На вкладке BODY → Raw введите содержание тела API-запроса:

   {

       "id":"{{tag.ALERT_ID}}",

       "reason":"<причина закрытия алерта. Доступные значения: "Incorrect Correlation Rule", "Incorrect Data", "Responded".>"

   }

6. Нажмите Сохранить.

Коннектор настроен.

Коннектор в R-Vision SOAR версии 4.0

Коннектор в R-Vision SOAR версии 5.0

Создание правила на закрытие алерта в KUMA при закрытии инцидента в R-Vision SOAR

Чтобы создать правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Сценарии реагирования нажмите на значок плюса.
2. В поле Название введите название создаваемого правила, например Close alert.
3. В раскрывающемся списке Группа выберите Все сценарии.
4. В блоке параметров Критерии автоматического запуска нажмите Добавить и в открывшемся окне введите условия срабатывания правила:
   1. В раскрывающемся списке Тип выберите Значение поля.
   2. В раскрывающемся списке Поле выберите Статус инцидента.
   3. Установите флажок напротив статуса Закрыт.
   4. Нажмите Добавить.

   Условия срабатывания правила добавлены. Правило будет срабатывать при закрытии инцидента.

5. В блоке параметров Действия по инциденту нажмите Добавить → Запуск коннектора и в открывшемся окне выберите коннектор, который следует выполнить при срабатывании правила:
   1. В раскрывающемся списке Коннектор выберите ранее созданный коннектор.
   2. Нажмите Добавить.

   Коннектор добавлен в правило.

6. Нажмите Добавить.

Правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision SOAR создано.

Правило сценария R-Vision SOAR версии 4.0

Правило сценария R-Vision SOAR версии 5.0

Работа с алертами с помощью R-Vision SOAR

После того как интеграция KUMA и R-Vision SOAR настроена, данные об алертах KUMA поступают в R-Vision SOAR. Изменение параметров алертов в KUMA отражается в R-Vision SOAR. Изменение статусов алертов в KUMA или R-Vision SOAR, кроме закрытия, также отражается в другой системе.

Если настроена интеграция KUMA и R-Vision SOAR, вы можете выполнять следующее:

• Передавать сведения о киберугрозах из KUMA в R-Vision SOAR

  Из KUMA в R-Vision SOAR автоматически передаются сведения об обнаруженных алертах. При этом в R-Vision SOAR создается инцидент.

  В R-Vision SOAR передаются следующие сведения об алерте KUMA:

  • идентификатор;
  • название;
  • статус;
  • дата первого события, относящегося к алерту;
  • дата последнего обнаружения, относящегося к алерту;
  • имя учетной записи или адрес электронной почты специалиста по безопасности, назначенного для обработки алерта;
  • уровень важности алерта;
  • категория инцидента R-Vision SOAR, соответствующего алерту KUMA;
  • иерархический список событий, связанных с алертом;
  • список активов, как внутренних, так и внешних, связанных с алертом;
  • список пользователей, связанных с алертом;
  • журнал изменений алерта;
  • ссылка на алерт в KUMA.
• Расследовать киберугрозы в KUMA

  Первоначальная обработка алерта производится в KUMA. Специалист по безопасности может уточнять и менять любые параметры алерта, кроме идентификатора и названия. Внесенные изменения отражаются в карточке инцидента R-Vision SOAR.

  Если киберугроза признается ложной и алерт закрывается в KUMA, соответствующий ему инцидент R-Vision SOAR также автоматически закрывается.

• Закрывать инциденты в R-Vision SOAR

  После необходимых работ по инциденту и фиксации хода расследования в R-Vision SOAR инцидент закрывается. Соответствующий алерт KUMA также автоматически закрывается.

• Открывать ранее закрытые инциденты

  Если в процессе мониторинга обнаруживается, что инцидент не был решен полностью или обнаруживаются дополнительные сведения, такой инцидент снова открывается в R-Vision SOAR. При этом в KUMA алерт остается закрытым.

  Специалист по безопасности с помощью ссылки может перейти из инцидента R-Vision SOAR в соответствующий алерт в KUMA и изменить его параметры, кроме идентификатора, названия и статуса. Внесенные изменения отражаются в карточке инцидента R-Vision SOAR.

  Дальнейший анализ происходит в R-Vision SOAR. Когда расследование завершено и инцидент в R-Vision SOAR снова закрыт, статус соответствующего алерта в KUMA не меняется: алерт остается закрытым.

• Запрашивать дополнительные сведения из системы-источника в рамках сценария реагирования или вручную

  Если в процессе анализа в R-Vision SOAR возникает необходимость получить дополнительные сведения из KUMA, в R-Vision SOAR можно сформировать требуемый поисковый запрос (например, запрос телеметрии, репутации, сведений о хосте) к KUMA. Запрос передается с помощью REST API KUMA, ответ фиксируется в карточке инцидента R-Vision SOAR для дальнейшего анализа и вывода в отчет.

  Действия выполняются в такой же последовательности на этапе автоматической обработки, если нет возможности сразу сохранить всю информацию по инциденту при импорте.