Настройка интеграции в R-Vision SOAR

В этом разделе описывается интеграция KUMA с R-Vision SOAR на стороне R-Vision SOAR.

Интеграция в R-Vision SOAR настраивается в разделе Настройки веб-интерфейса R-Vision SOAR. Подробнее о настройке R-Vision SOAR см. в документации этой программы.

Настройка интеграции с KUMA состоит из следующих этапов:

• Настройка роли пользователя R-Vision SOAR
  1. Присвойте используемому для интеграции пользователю R-Vision SOAR системную роль Менеджер по управлению инцидентами. Роль можно присвоить в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → Пользователи системы, выбрав нужного пользователя. Роль добавляется в блоке параметров Системные роли.

     Пользователь R-Vision SOAR версии 4.0 с ролью Менеджер по управлению инцидентами

     

     Пользователь R-Vision SOAR версии 5.0 с ролью Менеджер по управлению инцидентами

     

  2. Убедитесь, что API-токен используемого для интеграции пользователя R-Vision SOAR указан в секрете в веб-интерфейсе KUMA. Токен отображается в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → API.

     API-токен в R-Vision SOAR версии 4.0

     

     API-токен в R-Vision SOAR версии 5.0

     

• Настройка полей инцидентов R-Vision SOAR и алертов KUMA
  1. Добавьте поля инцидента ALERT_ID и ALERT_URL.
  2. Настройте категорию инцидентов R-Vision SOAR, создаваемых по алертам KUMA. Это можно сделать в веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Категории инцидентов. Добавьте новую или измените существующую категорию инцидентов, указав в блоке параметров Поля категорий созданные ранее поля инцидентов Alert ID и Alert URL. Поле Alert ID можно сделать скрытым.

     Категории инцидентов с данными из алертов KUMA в R-Vision SOAR версии 4.0

     

     Категории инцидентов с данными из алертов KUMA в R-Vision SOAR версии 5.0

     

  3. Запретите редактирование ранее созданных полей инцидентов Alert ID и Alert URL. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Представления выберите категорию инцидентов R-Vision SOAR, которые будут создаваться по алертам KUMA, и установите рядом с полями Alert ID и Alert URL значок замка.

     Поле Alert URL недоступно для редактирования в R-Vision SOAR версии 4.0

     

     Поле Alert URL недоступно для редактирования в R-Vision SOAR версии 5.0

     

• Создание коллектора и коннектора в R-Vision SOAR
  1. Создайте коллектор R-Vision SOAR для взаимодействия с KUMA.
  2. Создайте и настройте коннектор R-Vision SOAR для отправки в KUMA API-запросов на закрытие алертов.
• Создание правила на закрытие алерта в KUMA

  Создайте правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision SOAR.

В R-Vision SOAR теперь настроена интеграция с KUMA. Если интеграция также настроена в KUMA, при появлении алертов в KUMA информация о них будет отправляться в R-Vision SOAR для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision SOAR.

Добавление полей инцидента ALERT_ID и ALERT_URL

Чтобы добавить в R-Vision SOAR поле инцидента ALERT_ID:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Поля инцидентов выберите группу полей Без группы.
2. Нажмите на значок плюса в правой части экрана.

   В правой части экрана отобразится область параметров создаваемого поля инцидента.

3. В поле Наименование введите название поля, например Alert ID.
4. В раскрывающемся списке Тип выберите Текстовое поле.
5. В поле Тег для распознавания введите ALERT_ID.

Поле ALERT_ID добавлено в инцидент R-Vision SOAR.

Поле ALERT_ID в R-Vision SOAR версии 4.0

Поле ALERT_ID в R-Vision SOAR версии 5.0

Чтобы добавить в R-Vision SOAR поле инцидента ALERT_URL:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Поля инцидентов выберите группу полей Без группы.
2. Нажмите на значок плюса в правой части экрана.

   В правой части экрана отобразится область параметров создаваемого поля инцидента.

3. В поле Наименование введите название поля, например Alert URL.
4. В раскрывающемся списке Тип выберите Текстовое поле.
5. В поле Тег для распознавания введите ALERT_URL.
6. Установите флажки Отображение ссылок и Отображать URL как ссылки.

Поле ALERT_URL добавлено в инцидент R-Vision SOAR.

Поле ALERT_URL в R-Vision SOAR версии 4.0

Поле ALERT_URL в R-Vision SOAR версии 5.0

При необходимости аналогичным образом можно настроить отображение других данных из алерта KUMA в инциденте R-Vision SOAR.

Создание коллектора в R-Vision SOAR

Чтобы создать коллектор в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → Коллекторы нажмите на значок плюса.
2. В поле Название укажите название коллектора (например, Main collector).
3. В поле Адрес коллектора введите IP-адрес или название хоста, где установлена R-Vision SOAR (например, 127.0.0.1).
4. В поле Порт введите значение 3001.
5. Нажмите Добавить.
6. На вкладке Организации выберите организацию, для которой вы хотите добавить интеграцию с KUMA и установите флажки Коллектор по умолчанию и Коллектор реагирования.

Коллектор R-Vision SOAR создан.

Создание коннектора в R-Vision SOAR

Чтобы создать коннектор в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Коннекторы нажмите на значок плюса.
2. В раскрывающемся списке Тип выберите REST.
3. В поле Название укажите название коннектора, например, KUMA.
4. В поле URL введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

   Пример: https://kuma-example.com:7223/api/v1/alerts/close

5. В раскрывающемся списке Тип авторизации выберите Токен.
6. В поле Auth header введите значение Authorization.
7. В поле Auth value введите токен главного администратора KUMA в следующем формате:

   Bearer <токен главного администратора KUMA>

8. В раскрывающемся списке Коллектор выберите ранее созданный коллектор.
9. Нажмите Сохранить.

Коннектор создан.

Коннектор в R-Vision SOAR версии 4.0

Коннектор в R-Vision SOAR версии 5.0

После того как коннектор создан, требуется настроить отправку API-запросов на закрытие алертов в KUMA.

Чтобы настроить отправку API-запросов в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Коннекторы откройте созданный коннектор для редактирования.
2. В раскрывающемся списке типа запросов выберите POST.
3. В поле Params введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

   Пример, https://kuma-example.com:7223/api/v1/alerts/close

4. На вкладке HEADERS добавьте следующие ключи и их значения:
   • Ключ Content-Type; значение: application/json.
   • Ключ Authorization; значение: Bearer <токен главного администратора KUMA>.

     Токен главного администратора KUMA можно получить в веб-интерфейсе KUMA в разделе Параметры → Пользователи.

5. На вкладке BODY → Raw введите содержание тела API-запроса:

   {

       "id":"{{tag.ALERT_ID}}",

       "reason":"<причина закрытия алерта. Доступные значения: "Incorrect Correlation Rule", "Incorrect Data", "Responded".>"

   }

6. Нажмите Сохранить.

Коннектор настроен.

Коннектор в R-Vision SOAR версии 4.0

Коннектор в R-Vision SOAR версии 5.0

Создание правила на закрытие алерта в KUMA при закрытии инцидента в R-Vision SOAR

Чтобы создать правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision SOAR:

1. В веб-интерфейсе R-Vision SOAR в разделе Настройки → Управление инцидентами → Сценарии реагирования нажмите на значок плюса.
2. В поле Название введите название создаваемого правила, например Close alert.
3. В раскрывающемся списке Группа выберите Все сценарии.
4. В блоке параметров Критерии автоматического запуска нажмите Добавить и в открывшемся окне введите условия срабатывания правила:
   1. В раскрывающемся списке Тип выберите Значение поля.
   2. В раскрывающемся списке Поле выберите Статус инцидента.
   3. Установите флажок напротив статуса Закрыт.
   4. Нажмите Добавить.

   Условия срабатывания правила добавлены. Правило будет срабатывать при закрытии инцидента.

5. В блоке параметров Действия по инциденту нажмите Добавить → Запуск коннектора и в открывшемся окне выберите коннектор, который следует выполнить при срабатывании правила:
   1. В раскрывающемся списке Коннектор выберите ранее созданный коннектор.
   2. Нажмите Добавить.

   Коннектор добавлен в правило.

6. Нажмите Добавить.

Правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision SOAR создано.

Правило сценария R-Vision SOAR версии 4.0

Правило сценария R-Vision SOAR версии 5.0