Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Настройка интеграции в KUMA

В этом разделе описывается интеграция KUMA с R-Vision SOAR на стороне KUMA.

Интеграция в KUMA настраивается в разделе веб-интерфейса KUMA ПараметрыIRP / SOAR.

Чтобы настроить интеграцию с R-Vision SOAR:

  1. Откройте раздел веб-интерфейса KUMA РесурсыСекреты.

    Отобразится список доступных секретов.

  2. Нажмите на кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс будет использоваться для хранения токена для API-запросов в R-Vision SOAR.

    Откроется окно секрета.

  3. Введите данные секрета:
    1. В поле Название укажите имя для добавляемого секрета. Длина названия должна быть от 1 до 128 символов в кодировке Unicode.
    2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
    3. В раскрывающемся списке Тип выберите token.
    4. В поле Токен введите свой API-токен для R-Vision SOAR.

      Токен можно узнать в веб-интерфейсе R-Vision SOAR в разделе НастройкиОбщиеAPI.

    5. При необходимости в поле Описание добавьте описание секрета до 4000 символов в кодировке Unicode.
  4. Нажмите Сохранить.

    API-токен для R-Vision SOAR сохранен и теперь может использоваться в других ресурсах KUMA.

  5. Откройте раздел веб-интерфейса KUMA Параметры IRP / SOAR.

    Откроется окно с параметрами интеграции R-Vision SOAR.

  6. Измените необходимые параметры:
    • Выключено – установите этот флажок, если хотите выключить интеграцию R-Vision SOAR с KUMA.
    • В раскрывающемся списке Секрет выберите секрет, созданный ранее.

      Можно создать новый секрет, нажав на кнопку со значком плюса. Созданный секрет будет сохранен в разделе РесурсыСекреты.

    • URL (обязательно) – URL хоста сервера R-Vision SOAR.
    • Название поля для размещения идентификаторов алертов KUMA (обязательно) – имя поля R-Vision SOAR, в которое будет записываться идентификатор алерта KUMA.
    • Название поля для размещения URL алертов KUMA (обязательно) – имя поля R-Vision SOAR, в которое будет помещаться ссылка на алерт KUMA.
    • Категория (обязательно) – категория алерта R-Vision SOAR, который создается при получении данных об алерте от KUMA.
    • Поля событий​ KUMA для отправки в IRP / SOAR (обязательно) – раскрывающийся список для выбора полей событий KUMA, которые следует отправлять в R-Vision SOAR.
    • Группа настроек Уровень важности (обязательно) – используется для сопоставления значений уровня важности KUMA со значениями уровня важности R-Vision SOAR.
  7. Нажмите Сохранить.

В KUMA теперь настроена интеграция с R-Vision SOAR. Если интеграция также настроена в R-Vision SOAR, при появлении алертов в KUMA информация о них будет отправляться в R-Vision SOAR для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision SOAR.

Если вы работаете с несколькими тенантами и хотите интегрироваться с R-Vision SOAR, названия тенантов должны соответствовать коротким названиям компаний в R-Vision SOAR.

В начало
[Topic 224436]