Импорт информации об активах из MaxPatrol

Вы можете импортировать в KUMA сведения об активах из системы MaxPatrol.

Вы можете использовать следующие варианты импорта:

• Импорт из отчетов о результатах сканирования сетевых устройств системы MaxPatrol 8.

  Импорт происходит через API с помощью утилиты maxpatrol-tool на сервере, где установлено Ядро KUMA. Утилита входит в комплект поставки KUMA и расположена в архиве установщика в директории /kuma-ansible-installer/roles/kuma/files.

• Импорт данных из системы MaxPatrol VM.

  Импорт происходит через API с помощью утилиты kuma_ptvm. Утилита входит в комплект поставки KUMA и расположена в архиве установщика в директории /kuma-ansible-installer/roles/kuma/files.

Импортированные активы отображаются в веб-интерфейсе KUMA в разделе Активы. При необходимости вы можете редактировать параметры активов.

Импорт данных из отчетов MaxPatrol

Импорт данных об активах из отчета поддерживается для MaxPatrol 8.

Чтобы импортировать данные об активах из отчета MaxPatrol:

1. Сформируйте в MaxPatrol отчет сканирования сетевых активов в формате XML file и скопируйте файл отчета на сервер Ядра KUMA. Подробнее о задачах на сканирование и форматах выходных файлов см. в документации MaxPatrol.

   Импорт данных из отчетов в формате SIEM integration file не поддерживается. Требуется выбрать формат XML file.

2. Создайте файл с токеном для доступа к KUMA REST API. Для удобства рекомендуется разместить его в папке отчета MaxPatrol. Файл не должен содержать ничего, кроме токена.

   Требования к учетным записям, для которых генерируется API-токен:

   • Роль Главного администратора, Администратора тенанта, Аналитика второго уровня и Аналитика первого уровня.
   • Доступ к тенанту, в который будут импортированы активы.
   • Настроены права на использование API-запросов GET /users/whoami и POST /api/v1/assets/import.

     Мы рекомендуем для импорта активов из MaxPatrol создать отдельного пользователя с минимально необходимым набором прав на использование API-запросов.

3. Скопируйте утилиту maxpatrol-tool на сервер с Ядром KUMA и сделайте файл утилиты исполняемым с помощью команды:

   chmod +x <путь до файла maxpatrol-tool на сервере с Ядром KUMA>

4. Запустите утилиту maxpatrol-tool:

   ./maxpatrol-tool --kuma-rest <адрес и порт сервера KUMA REST API> --token <путь и имя файла с API-токеном> --tenant <название тенанта, куда будут помещены активы> <путь и имя файла с отчетом MaxPatrol> --cert <путь к файлу сертификата Ядра KUMA>

   Сертификат Ядра можно скачать в веб-интерфейсе KUMA.

   Пример: ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /tmp/ca.cert

   Вы можете использовать дополнительные флаги и команды для импорта. Например, команду для отображения полного отчета о полученных активах --verbose, -v. Подробное описание доступных флагов и команд приведено в таблице Флаги и команды утилиты maxpatrol-tool. Также для просмотра информации о доступных флагах и командах вы можете использовать команду --help.

Информация об активах будет импортирована из отчета MaxPatrol в KUMA. В консоли отображаются сведения о количестве новых и обновленных активов.

Поведение утилиты при импорте активов:

• KUMA перезаписывает данные импортированных через API активов и удаляет сведения об их устраненных уязвимостях.
• KUMA пропускает активы с недействительными данными. Сведения об ошибках отображаются при использовании флага --verbose.
• Если в одном отчете MaxPatrol есть активы с одинаковыми IP-адресами и полными именами домена (FQDN), эти активы объединяются. Сведения об их уязвимостях и программном обеспечении также объединяются в одном активе.

  При загрузке активов из MaxPatrol активы с аналогичными IP-адресами и полными именами доменов (FQDN), ранее импортированные из Kaspersky Security Center, перезаписываются.

  Чтобы этого избежать, вам требуется настроить фильтрацию активов по диапазону с помощью команды:

  --ignore <диапазоны IP-адресов> или -i <диапазоны IP-адресов>

  Активы, соответствующие условиям фильтрации, не загружаются. Описание команды вы можете просмотреть в таблице Флаги и команды утилиты maxpatrol-tool.

Флаги и команды утилиты maxpatrol-tool

Примеры:

• ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /example-directory/ca.cert – импорт активов в KUMA из отчета MaxPatrol example.xml.
• ./maxpatrol-tool help – получение справки об утилите.

Возможные ошибки

Импорт данных об активах из MaxPatrol VM

В поставку KUMA входит утилита kuma-ptvm, которая состоит из исполняемого файла и файла конфигурации. Поддерживается работа под управлением ОС Windows и Linux. Утилита позволяет выполнить подключение к API MaxPatrol VM, получить данные об устройствах и их атрибутах, включая уязвимости, а также позволяет отредактировать данные об активах и импортировать данные с использованием API KUMA. Импорт данных поддерживается для MaxPatrol VM 1.1, 2.6.

Настройка импорта информации об активах из MaxPatrol VM в KUMA состоит из следующих шагов:

1. Подготовительные действия в KUMA и MaxPatrol VM.

   Вам потребуется создать учетные записи пользователей и токен KUMA для операций через API.

2. Создание файла конфигурации с параметрами экспорта и импорта данных.
3. Импорт данных об активах в KUMA с помощью утилиты kuma-ptvm:
   1. Данные экспортируются из MaxPatrol VM и сохраняются в директории утилиты. Информация по каждому тенанту сохраняется в отдельный файл в формате JSON.

      При необходимости вы можете отредактировать полученные файлы.

   2. Информация из файлов импортируется в KUMA.

При повторном импорте уже существующие в KUMA активы будут перезаписаны. Таким образом устраненные уязвимости будут удалены.

Известные ограничения

Если для двух активов с разными FQDN указан один IP-адрес, KUMA импортирует такие активы как два разных актива, активы не будут объединены.

Если у актива два ПО с одинаковыми данными в полях name, version, vendor, KUMA импортирует эти данные как одно ПО, несмотря на разные пути установки ПО в активе.

Если FQDN актива содержит пробел или "_", данные по таким активам не будут импортированы в KUMA, в журнале будет указано, что такие активы пропущены при импорте.

Если при импорте происходит ошибка, информация об ошибке регистрируется в журнале и выполнение импорта прекращается.

Подготовительные действия

1. Создайте отдельную учетную запись пользователя в KUMA и в MaxPatrol VM с минимально необходимым набором прав на использование API-запросов.
2. Создайте учетные записи, для которых впоследствии сгенерируете API-токен.

   Требования к учетным записям, для которых генерируется API-токен:

   • Роль Главного администратора, Администратора тенанта, Аналитика второго уровня и Аналитика первого уровня.
   • Доступ к тенанту, в который будут импортированы активы.
   • В учетной записи пользователя в группе параметров Права доступа через API установлен флажок для POST /api/v1/assets/import.
3. Сгенерируйте токен для доступа к KUMA REST API.

Создание конфигурационного файла

Чтобы создать конфигурационный файл:

1. Перейдите в директорию установщика KUMA, выполнив следующую команду:

   cd kuma-ansible-installer/roles/kuma/files/

2. Распакуйте архив kuma-ptvm.tar.gz, выполнив следующую команду:

   tar -xvf kuma-ptvm.tar.gz

3. Скопируйте шаблон kuma-ptvm-config-template.yaml и создайте конфигурационный файл с именем kuma-ptvm-config.yaml:

   cp kuma-ptvm-config-template.yaml kuma-ptvm-config.yaml

4. Отредактируйте параметры конфигурационного файла kuma-ptvm-config.yaml.
5. Сохраните изменения в файле.

Конфигурационный файл будет создан. Теперь вы можете переходить к шагу Импорт информации об активах.

Импорт данных об активах

Чтобы импортировать данные об активах:

1. Если вы хотите импортировать информацию об активах из MaxPatrol VM в KUMA без промежуточной проверки экспортированных данных, запустите утилиту kuma-ptvm со следующими параметрами:

   ./kuma-ptvm --config <путь к файлу kuma-ptvm-config.yaml> --download --upload

2. Если вы хотите проверить корректность экспортированных из MaxPatrol VM данных перед импортом в KUMA:
   1. Запустите утилиту kuma-ptvm со следующими параметрами:

      ./kuma-ptvm --config <путь к файлу kuma-ptvm-config.yaml> --download

      Для каждого тенанта, указанного в конфигурационном файле, будет создан отдельный файл с именем вида <Идентификатор тенанта KUMA>.JSON. Также при экспорте будет создан файл tenants со списком JSON-файлов для загрузки в KUMA. Все файлы сохраняются в директории утилиты.

   2. Проверьте экспортированные файлы активов и при необходимости внесите изменения:
      • Распределите активы по соответствующим тенантам.
      • Из файла тенанта по умолчанию default вручную перенесите данные активов в файлы нужных тенантов.
      • В файле tenants отредактируйте список тенантов, активы которых будут импортированы в KUMA.
   3. Импортируйте информацию об активах в KUMA с помощью команды:

      ./kuma-ptvm --config <путь к файлу kuma-ptvm-config.yaml> --upload

   Чтобы просмотреть информацию о доступных командах утилиты, выполните команду --help.

Информация об активах будет импортирована из MaxPatrol VM в KUMA. В консоли отображаются сведения о количестве новых и обновленных активов.

Возможные ошибки

При запуске утилиты kuma-ptvm может вернуться ошибка "tls: failed to verify certificate: x509: certificate is valid for localhost".

Решение:

• Выписать сертификат в соответствии с документацией MaxPatrol. Мы рекомендуем этот способ устранения ошибки, как предпочтительный.
• Отключить проверку сертификата.

  Чтобы отключить проверку сертификата, добавьте в конфигурационный файл в разделе MaxPatrol settings следующую строку:

  ignore_server_cert: true

В результате запуск утилиты выполняется без ошибок.

Параметры конфигурационного файла kuma-ptvm-config.yaml

В таблице представлены параметры, доступные для настройки в файле kuma-ptvm-config.yaml.

Описание параметров конфигурационного файла kuma-ptvm-config.yaml