Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Добавление активов

Вы можете добавлять в KUMA информацию об активах следующими способами:

  • Вручную.

    Вы можете добавить актив в веб-интерфейсе KUMA или с помощью API.. При этом необходимо вручную указать следующие данные: адрес, FQDN, название и версия операционной системы, аппаратные характеристики. Добавление информации об уязвимостях активов через веб-интерфейс не предусмотрено. Вы можете указать информацию об уязвимостях, если будете добавлять активы с помощью API.

  • Импортировать активы.

    Вы можете импортировать активы из Kaspersky Security Center, KICS/KATA и отчетов MaxPatrol.

  • Импортировать активы.

В процессе добавления активы, уже существующие в KUMA, могут объединяться с добавляемыми активами.

Алгоритм объединения активов:

  1. Проверка на уникальность активов в Kaspersky Security Center или KICS/KATA активов:
    • Уникальность актива импортированного из Kaspersky Security Center, проверяется по параметру Идентификатор хоста, в котором указан идентификатор агента администрирования Kaspersky Security Center. Если идентификаторы у двух активов различаются, активы считаются разными, объединения данных не происходит.
    • Уникальность актива импортированного из KICS/KATA, определяется по комбинации параметров IP-адрес, IP-адрес сервера KICS/KATA и Идентификатор коннектора KICS/KATA. Если любой из параметров у двух активов различается, активы считаются разными, объединения данных не происходит.

    Если активы совпадают, алгоритм выполняется далее.

  2. Проверка на совпадение значений в полях IP, MAC, FQDN.

    Если хотя бы два из указанных полей совпадают, активы объединяются при условии, что другие поля не заполнены.

    Возможные варианты совпадений:

    • FQDN и IP-адрес активов. Поле MAC не заполнено.

      Проверка производится по всему массиву значений IP-адресов. Если IP-адрес актива входит в состав FQDN, значения считаются совпавшими.

    • FQDN и MAC-адрес активов. Поле IP не заполнено.

      Проверка производится по всему массиву значений MAC-адресов. При полном совпадении хотя бы одного значения массива с FQDN значения считаются совпавшими.

    • IP-адрес и MAC-адрес активов. Поле FQDN не заполнено.

      Проверка производится по всему массиву значений IP- и MAC-адресов. При полном совпадении хотя бы одного значения в массивах значения считаются совпавшими.

  3. Проверка на совпадение хотя бы одного из полей IP, MAC, FQDN при условии, что два других поля не заполнены для одного или обоих активов.

    Активы объединяются, если значения в поле совпадают. Например, если для актива KUMA указаны FQDN и IP-адрес, а для импортируемого актива только IP-адрес с тем же значением, поля считаются совпавшими. В этом случае активы объединяются.

    Для каждого поля проверка производится отдельно и завершается при первом совпадении.

Вы можете посмотреть примеры сравнения полей активов здесь.

Информация об активах может формироваться из разных источников. Если добавляемый актив и актив KUMA содержат данные, полученные из одного и того же источника, эти данные перезаписываются. Например, актив Kaspersky Security Center при импорте в KUMA получил полное доменное имя и информацию о программном обеспечении. При импорте актива из Kaspersky Security Center с аналогичным полным доменным именем эти данные будут перезаписаны при условии, что они указаны для добавляемого актива. Все поля, в которых могут обновляться данные, приведены в таблице Обновляемые данные.

Обновляемые данные

Название поля

Принцип обновления

Название

Выбирается согласно следующему приоритету:

  • Задано вручную.
  • Получено из Kaspersky Security Center.
  • Получено KICS/KATA.

Владелец

Выбирается первое значение из источников согласно следующему приоритету:

  • Получено из Kaspersky Security Center.
  • Задано вручную.

IP-адрес

Данные объединяются. Если в массиве адресов есть одинаковые адреса, копия дублирующегося адреса удаляется.

Полное доменное имя

Выбирается первое значение из источников согласно следующему приоритету:

  • Получено из Kaspersky Security Center.
  • Получено KICS/KATA.
  • Задано вручную.

MAC-адрес

Данные объединяются. Если в массиве адресов есть одинаковые адреса, один из дублирующихся адресов удаляется.

Операционная система

Выбирается первое значение из источников согласно следующему приоритету:

  • Получено из Kaspersky Security Center.
  • Получено KICS/KATA.
  • Задано вручную.

Уязвимости

Данные активов KUMA дополняются информацией из добавляемых активов. В информации об активе данные группируются по названию источника.

Устранение уязвимостей для каждого источника осуществляется отдельно.

Информация о программном обеспечении

Данные из KICS/KATA записываются всегда (при наличии).

Для других источников выбирается первое значение согласно следующему приоритету:

  • Получено из Kaspersky Security Center.
  • Задано вручную.

Информация об оборудовании

Выбирается первое значение из источников согласно следующему приоритету:

  • Получено из Kaspersky Security Center.
  • Задано через API.

Обновленные данные отображаются в информации об активе. Вы можете просмотреть информацию об активе в веб-интерфейсе KUMA.

При добавлении новых активов эти данные могут быть перезаписаны. Если данные, из которых сформирована информация об активе, не обновляются из источников более 30 дней, актив удаляется. При следующем добавлении актива из тех же источников создается новый актив.

При редактировании в веб-интерфейсе KUMA активов, информация о которых получена из Kaspersky Security Center или KICS/KATA, вы можете изменить следующие данные актива:

  • Название.
  • Категория.

Если информация об активе добавлена вручную, при редактировании в веб-интерфейсе KUMA этих активов вы можете изменить следующие данные актива:

  • Название.
  • Название тенанта, которому принадлежит актив.
  • IP-адрес.
  • Полное доменное имя.
  • MAC-адрес.
  • Владелец.
  • Категория.
  • Операционная система.
  • Информация об оборудовании.

Редактирование данных об активах через REST API недоступно. При импорте из REST API происходит обновление данных по правилам слияния информации об активах, приведенным выше.

В этом разделе справки

Добавление информации об активах в веб-интерфейсе KUMA

Импорт информации об активах и уязвимостях активов из Kaspersky Security Center

Импорт информации об активах из MaxPatrol

Импорт информации об активах из KICS for Networks

Примеры сравнения полей активов при импорте
В начало
[Topic 233855]

Добавление информации об активах в веб-интерфейсе KUMA

Чтобы добавить актив в веб-интерфейсе KUMA:

  1. В разделе Активы веб-интерфейса KUMA нажмите на кнопку Добавить актив.

    В правой части окна откроется область деталей Добавить актив.

  2. Введите параметры актива:
    • Название актива (обязательно).
    • Тенант (обязательно).
    • IP-адрес и/или Полное доменное имя (обязательно). Вы можете указать несколько FQDN через запятую.
    • MAC-адрес.
    • Владелец.
  3. При необходимости присвойте активу одну или несколько категорий:
    1. Нажмите на кнопку дерева ().

      Откроется окно Выбор категорий.

    2. Установите флажки рядом с категориями, которые следует присвоить активу. С помощью значков плюс () и минус () вы можете разворачивать и сворачивать списки категорий.
    3. Нажмите Сохранить.

    Выбранные категории отобразятся в полях Категории.

  4. При необходимости добавьте в раздел Программное обеспечение сведения об операционной системе актива.
  5. При необходимости добавьте в раздел Информация об оборудовании сведения об оборудовании актива.
  6. Нажмите на кнопку Добавить.

Актив создан и отображается в таблице активов в назначенной ему категории или в категории Активы без категории.

В начало
[Topic 217798]

Импорт информации об активах и уязвимостях активов из Kaspersky Security Center

Развернуть всё | Свернуть всё

В Kaspersky Security Center зарегистрированы все активы, которые находятся под защитой программы. Вы можете импортировать в KUMA информацию об активах или уязвимостях активов, защищаемых Kaspersky Security Center. Для этого вам нужно предварительно настроить интеграцию между программами.

В параметрах интеграции с Kaspersky Security Center вы можете настроить периодичность автоматического импорта информации об активах, а также при необходимости вы можете импортировать активы вручную по запросу. Запуск импорта по запросу не влияет на время импорта по расписанию. KUMA импортирует из базы Kaspersky Security Center сведения об устройствах с установленным Агентом администрирования Kaspersky Security Center, который подключался к Kaspersky Security Center, то есть поле Connection time в базе SQL – непустое.

KUMA импортирует следующие данные об устройстве, полученные от Агентов администрирования Kaspersky Security Center:

  • основную информацию об активе – имя, адрес, время подключения к Kaspersky Security Center, информацию об оборудовании, состоянии защиты, версии антивирусных баз;
  • информацию об атрибутах актива – об уязвимостях, о программном обеспечении, включая операционную систему, о владельцах.

По умолчанию информация об основных параметрах активов импортируется каждый час, а информация об атрибутах активов импортируется каждые 12 часов. Информация об атрибутах импортируется только для существующих активов, но не для новых или удаленных.

При возникновении в Kaspersky Security Center ошибок во время выполнения задач импорта данных KUMA отображает эти ошибки. Если основная информация об активах отсутствует в KUMA во время импорта информации об атрибутах активов (например, активы были удалены во время импорта), то задача завершится без ошибок, но информация об атрибутах этих активов загружена не будет.

В KUMA предусмотрены следующие варианты импорта информации об активах и уязвимостях активов из Kaspersky Security Center:

  • Импорт информации об активах и уязвимостях активов всех Серверов KSC

    Чтобы импортировать информацию об активах или уязвимостях активов всех Серверов Kaspersky Security Center:

    1. В веб-интерфейсе KUMA перейдите в раздел Активы.
    2. Импортируйте информацию об активах или уязвимостях активов одним из следующих способов:
      • Если вы хотите импортировать информацию об основных параметрах активов (состоянии защиты, версии антивирусных баз, оборудовании), нажмите на кнопку Импортировать активы KSC.
      • Если вы хотите импортировать информацию об остальных параметрах активов (уязвимостях, программном обеспечении, владельцах), нажмите на кнопку Импортировать атрибуты активов KSC.
    3. В открывшемся окне выберите тенант, для которого вы хотите выполнить импорт. По умолчанию выбрано значение Все тенанты – импорт выполняется для всех тенантов.
    4. Нажмите на кнопку OK.

    Информация об активах или уязвимостях активов серверов Kaspersky Security Center будет импортирована в KUMA.

  • Импорт информации об активах и уязвимостях активов отдельного Сервера KSC

    Чтобы импортировать информацию об активах или уязвимостях активов отдельного Сервера Kaspersky Security Center:

    1. В веб-интерфейсе KUMA перейдите раздел ПараметрыKaspersky Security Center.

      Откроется окно Интеграция с Kaspersky Security Center по тенантам.

    2. Выберите тенант, для которого вы хотите выполнить импорт.

      Откроется окно Интеграция с Kaspersky Security Center.

    3. В таблице Подключения нажмите на подключение к выбранному Серверу Kaspersky Security Center.

      Откроется окно с параметрами подключения.

    4. Если у Сервера Kaspersky Security Center есть подчиненные Серверы или группы и вы не хотите импортировать информацию об их активах или уязвимостях, выполните следующие действия:
      1. Нажмите на кнопку Загрузить иерархию.
      2. Снимите флажки рядом с подчиненными Серверами или группами, для которых вы не хотите выполнять импорт. По умолчанию флажки установлены.
      3. Если вы хотите импортировать информацию об активах или уязвимостях активов новых групп, установите флажок Импортировать активы из новых групп. По умолчанию флажок снят.
      4. Нажмите на кнопку Сохранить.
    5. Импортируйте информацию об активах или уязвимостях активов одним из следующих способов:
      • Если вы хотите импортировать информацию об основных параметрах активов (состоянии защиты, версии антивирусных баз, оборудовании), нажмите на кнопку Импортировать активы KSC.
      • Если вы хотите импортировать информацию об остальных параметрах активов (уязвимостях, программном обеспечении, владельцах), нажмите на кнопку Импортировать атрибуты активов KSС.

    Информация об активах или уязвимостях активов выбранного Сервера Kaspersky Security Center будет импортирована в KUMA.

В начало
[Topic 217893]

Импорт информации об активах из MaxPatrol

Вы можете импортировать в KUMA сведения об активах из системы MaxPatrol.

Вы можете использовать следующие варианты импорта:

Импортированные активы отображаются в веб-интерфейсе KUMA в разделе Активы. При необходимости вы можете редактировать параметры активов.

В начало
[Topic 228184]

Импорт данных из отчетов MaxPatrol

Импорт данных об активах из отчета поддерживается для MaxPatrol 8.

Чтобы импортировать данные об активах из отчета MaxPatrol:

  1. Сформируйте в MaxPatrol отчет сканирования сетевых активов в формате XML file и скопируйте файл отчета на сервер Ядра KUMA. Подробнее о задачах на сканирование и форматах выходных файлов см. в документации MaxPatrol.

    Импорт данных из отчетов в формате SIEM integration file не поддерживается. Требуется выбрать формат XML file.

  2. Создайте файл с токеном для доступа к KUMA REST API. Для удобства рекомендуется разместить его в папке отчета MaxPatrol. Файл не должен содержать ничего, кроме токена.

    Требования к учетным записям, для которых генерируется API-токен:

  3. Скопируйте утилиту maxpatrol-tool на сервер с Ядром KUMA и сделайте файл утилиты исполняемым с помощью команды:

    chmod +x <путь до файла maxpatrol-tool на сервере с Ядром KUMA>

  4. Запустите утилиту maxpatrol-tool:

    ./maxpatrol-tool --kuma-rest <адрес и порт сервера KUMA REST API> --token <путь и имя файла с API-токеном> --tenant <название тенанта, куда будут помещены активы> <путь и имя файла с отчетом MaxPatrol> --cert <путь к файлу сертификата Ядра KUMA>

    Сертификат Ядра можно скачать в веб-интерфейсе KUMA.

    Пример: ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /tmp/ca.cert

    Вы можете использовать дополнительные флаги и команды для импорта. Например, команду для отображения полного отчета о полученных активах --verbose, -v. Подробное описание доступных флагов и команд приведено в таблице Флаги и команды утилиты maxpatrol-tool. Также для просмотра информации о доступных флагах и командах вы можете использовать команду --help.

Информация об активах будет импортирована из отчета MaxPatrol в KUMA. В консоли отображаются сведения о количестве новых и обновленных активов.

Пример:

inserted 2 assets;

updated 1 assets;

errors occurred: []

Поведение утилиты при импорте активов:

  • KUMA перезаписывает данные импортированных через API активов и удаляет сведения об их устраненных уязвимостях.
  • KUMA пропускает активы с недействительными данными. Сведения об ошибках отображаются при использовании флага --verbose.
  • Если в одном отчете MaxPatrol есть активы с одинаковыми IP-адресами и полными именами домена (FQDN), эти активы объединяются. Сведения об их уязвимостях и программном обеспечении также объединяются в одном активе.

    При загрузке активов из MaxPatrol активы с аналогичными IP-адресами и полными именами доменов (FQDN), ранее импортированные из Kaspersky Security Center, перезаписываются.

    Чтобы этого избежать, вам требуется настроить фильтрацию активов по диапазону с помощью команды:

    --ignore <диапазоны IP-адресов> или -i <диапазоны IP-адресов>

    Активы, соответствующие условиям фильтрации, не загружаются. Описание команды вы можете просмотреть в таблице Флаги и команды утилиты maxpatrol-tool.

Флаги и команды утилиты maxpatrol-tool

Флаги и команды

Описание

--kuma-rest <адрес и порт сервера KUMA REST API>, -a <адрес и порт сервера KUMA REST API>

Адрес сервера с Ядром KUMA, куда будет производиться импорт активов, с указанием порта. Например, example.kuma.com:7223.

По умолчанию для обращения по API используется порт 7223. При необходимости его можно изменить.

--token <путь и имя файла с API-токеном>, -t <путь и имя файла с API-токеном>

Путь и имя файла, содержащее токен для доступа к REST API. Файл должен содержать только токен.

Учетной записи, для которой генерируется API-токен, должна быть присвоена роль Главного администратора, Администратора тенанта, Администратора второго уровня или Администратора первого уровня.

--tenant <название тенанта>, -T <название тенанта>

Название тенанта KUMA, в который будут импортированы активы из отчета MaxPatrol.

--dns <диапазоны IP-адресов> или -d <диапазоны IP-адресов>

Используется для обогащения IP-адресов FQDN из указанных диапазонов с помощью DNS, если для этих адресов FQDN не был указан.

Пример: --dns 0.0.0.0-9.255.255.255,11.0.0.0-255.255.255,10.0.0.2

--dns-server <IP-адрес DNS-сервера>, -s <IP-адрес DNS-сервера>

Адрес DNS-сервера, к которому должна обращаться утилита для получения информации о FQDN.

Пример: --dns-server 8.8.8.8

--ignore <диапазоны IP-адресов> или -i <диапазоны IP-адресов>

Диапазоны адресов активов, которые при импорте следует пропустить.

Пример: --ignore 8.8.0.0-8.8.255.255, 10.10.0.1

--verbose, -v

Выведение полного отчета о полученных активах и ошибках, возникших в процессе импорта.

--help, -h

help

Получение справочной информации об утилите или команде.

Примеры:

./maxpatrol-tool help

./maxpatrol-tool <команда> --help

version

Получение информации о версии утилиты maxpatrol-tool.

completion

Создание скрипта автозавершения для указанной оболочки.

--cert <путь до файла с сертификатом Ядра KUMA>

Путь к сертификату Ядра KUMA. По умолчанию сертификат располагается в директории с установленной программой: /opt/kaspersky/kuma/core/certificates/ca.cert.

Примеры:

  • ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /example-directory/ca.cert – импорт активов в KUMA из отчета MaxPatrol example.xml.
  • ./maxpatrol-tool help – получение справки об утилите.

Возможные ошибки

Сообщение об ошибке

Описание

must provide path to xml file to import assets

Не указан путь к файлу отчета MaxPatrol.

incorrect IP address format

Некорректный формат IP-адреса. Может возникнуть при указании некорректных диапазонов IP.

no tenants match specified name

Для указанного названия тенанта не было найдено подходящих тенантов с помощью REST API.

unexpected number of tenants (%v) match specified name. Tenants are: %v

Из KUMA вернулось больше одного тенанта для указанного названия тенанта.

could not parse file due to error: %w

Ошибка чтения xml-файла с отчетом MaxPatrol.

error decoding token: %w

Ошибка чтения файла с API-токеном.

error when importing files to KUMA: %w

Ошибка передачи сведений об активах в KUMA.

skipped asset with no FQDN and IP address

У одного из активов в отчете не было FQDN и IP-адреса. Сведения об этом активе не были отправлены в KUMA.

skipped asset with invalid FQDN: %v

У одного из активов в отчете был некорректный FQDN. Сведения об этом активе не были отправлены в KUMA.

skipped asset with invalid IP address: %v

У одного из активов в отчете был некорректный IP-адрес. Сведения об этом активе не были отправлены в KUMA.

KUMA response: %v

При импорте сведений об активах произошла ошибка с указанным ответом.

unexpected status code %v

При импорте сведений об активах от KUMA был получен неожиданный код HTTP.

В начало
[Topic 265426]

Импорт данных об активах из MaxPatrol VM

В поставку KUMA входит утилита kuma-ptvm, которая состоит из исполняемого файла и файла конфигурации. Поддерживается работа под управлением ОС Windows и Linux. Утилита позволяет выполнить подключение к API MaxPatrol VM, получить данные об устройствах и их атрибутах, включая уязвимости, а также позволяет отредактировать данные об активах и импортировать данные с использованием API KUMA. Импорт данных поддерживается для MaxPatrol VM 1.1, 2.6.

Настройка импорта информации об активах из MaxPatrol VM в KUMA состоит из следующих шагов:

  1. Подготовительные действия в KUMA и MaxPatrol VM.

    Вам потребуется создать учетные записи пользователей и токен KUMA для операций через API.

  2. Создание файла конфигурации с параметрами экспорта и импорта данных.
  3. Импорт данных об активах в KUMA с помощью утилиты kuma-ptvm:
    1. Данные экспортируются из MaxPatrol VM и сохраняются в директории утилиты. Информация по каждому тенанту сохраняется в отдельный файл в формате JSON.

      При необходимости вы можете отредактировать полученные файлы.

    2. Информация из файлов импортируется в KUMA.

При повторном импорте уже существующие в KUMA активы будут перезаписаны. Таким образом устраненные уязвимости будут удалены.

Известные ограничения

Если для двух активов с разными FQDN указан один IP-адрес, KUMA импортирует такие активы как два разных актива, активы не будут объединены.

Если у актива два ПО с одинаковыми данными в полях name, version, vendor, KUMA импортирует эти данные как одно ПО, несмотря на разные пути установки ПО в активе.

Если FQDN актива содержит пробел или "_", данные по таким активам не будут импортированы в KUMA, в журнале будет указано, что такие активы пропущены при импорте.

Если при импорте происходит ошибка, информация об ошибке регистрируется в журнале и выполнение импорта прекращается.

Подготовительные действия

  1. Создайте отдельную учетную запись пользователя в KUMA и в MaxPatrol VM с минимально необходимым набором прав на использование API-запросов.
  2. Создайте учетные записи, для которых впоследствии сгенерируете API-токен.

    Требования к учетным записям, для которых генерируется API-токен:

  3. Сгенерируйте токен для доступа к KUMA REST API.

Создание конфигурационного файла

Чтобы создать конфигурационный файл:

  1. Перейдите в директорию установщика KUMA, выполнив следующую команду:

    cd kuma-ansible-installer/roles/kuma/files/

  2. Распакуйте архив kuma-ptvm.tar.gz, выполнив следующую команду:

    tar -xvf kuma-ptvm.tar.gz

  3. Скопируйте шаблон kuma-ptvm-config-template.yaml и создайте конфигурационный файл с именем kuma-ptvm-config.yaml:

    cp kuma-ptvm-config-template.yaml kuma-ptvm-config.yaml

  4. Отредактируйте параметры конфигурационного файла kuma-ptvm-config.yaml.
  5. Сохраните изменения в файле.

Конфигурационный файл будет создан. Теперь вы можете переходить к шагу Импорт информации об активах.

Импорт данных об активах

Чтобы импортировать данные об активах:

  1. Если вы хотите импортировать информацию об активах из MaxPatrol VM в KUMA без промежуточной проверки экспортированных данных, запустите утилиту kuma-ptvm со следующими параметрами:

    ./kuma-ptvm --config <путь к файлу kuma-ptvm-config.yaml> --download --upload

  2. Если вы хотите проверить корректность экспортированных из MaxPatrol VM данных перед импортом в KUMA:
    1. Запустите утилиту kuma-ptvm со следующими параметрами:

      ./kuma-ptvm --config <путь к файлу kuma-ptvm-config.yaml> --download

      Для каждого тенанта, указанного в конфигурационном файле, будет создан отдельный файл с именем вида <Идентификатор тенанта KUMA>.JSON. Также при экспорте будет создан файл tenants со списком JSON-файлов для загрузки в KUMA. Все файлы сохраняются в директории утилиты.

    2. Проверьте экспортированные файлы активов и при необходимости внесите изменения:
      • Распределите активы по соответствующим тенантам.
      • Из файла тенанта по умолчанию default вручную перенесите данные активов в файлы нужных тенантов.
      • В файле tenants отредактируйте список тенантов, активы которых будут импортированы в KUMA.
    3. Импортируйте информацию об активах в KUMA с помощью команды:

      ./kuma-ptvm --config <путь к файлу kuma-ptvm-config.yaml> --upload

    Чтобы просмотреть информацию о доступных командах утилиты, выполните команду --help.

Информация об активах будет импортирована из MaxPatrol VM в KUMA. В консоли отображаются сведения о количестве новых и обновленных активов.

Возможные ошибки

При запуске утилиты kuma-ptvm может вернуться ошибка "tls: failed to verify certificate: x509: certificate is valid for localhost".

Решение:

  • Выписать сертификат в соответствии с документацией MaxPatrol. Мы рекомендуем этот способ устранения ошибки, как предпочтительный.
  • Отключить проверку сертификата.

    Чтобы отключить проверку сертификата, добавьте в конфигурационный файл в разделе MaxPatrol settings следующую строку:

    ignore_server_cert: true

В результате запуск утилиты выполняется без ошибок.

В начало
[Topic 265427]

Параметры конфигурационного файла kuma-ptvm-config.yaml

В таблице представлены параметры, доступные для настройки в файле kuma-ptvm-config.yaml.

Описание параметров конфигурационного файла kuma-ptvm-config.yaml

Параметр

Описание

Значения

log_level

Необязательный параметр в группе General settings.

Уровень журналирования.

Доступные значения:

  • trace
  • info
  • warning
  • error

Значение по умолчанию: info.

period

Необязательный параметр в группе General settings.

Из MaxPatrol будут экспортированы данные об активах, которые изменялись за указанный срок.

Ограничения отсутствуют.

Значение по умолчанию: 30d.

strict_import

Необязательный параметр в группе General settings.

При экспорте активов из MaxPatrol проверять, заполнены ли обязательные для KUMA поля. Не экспортировать из MaxPatrol активы, не прошедшие проверку.

Доступные значения:

  • true - проверять наличие обязательных для KUMA полей.
  • false - не проверять наличие обязательных для KUMA полей.

Значение по умолчанию: false.

Мы рекомендуем указывать значение true при экспорте активов из MaxPatrol, это позволит выявить возможные ошибки в файлах JSON и исправить ошибки перед тем, как вы импортируете активы в KUMA.

endpoint

Обязательный параметр в группе KUMA settings.

URL сервера KUMA API. Например: kuma-example.com:7223

-

token

Обязательный параметр в группе KUMA settings.

Токен KUMA API.

-

ignore_server_cert

Необязательный параметр в группе KUMA settings.

Проверка сертификата KUMA.

Доступные значения:

  • true - отключить проверку сертификата KUMA.
  • false - выполнить проверку сертификата KUMA.

Параметр не включен в шаблон конфигурационного файла. Вы можете указать параметр со значением true вручную, тогда при запуске утилита kuma-ptvm не будет проверять сертификат.

endpoint

Обязательный параметр в группе MaxPatrol VM settings.

URL сервера MaxPatrol API.

-

user

Обязательный параметр в группе MaxPatrol VM settings.

Имя пользователя MaxPatrol API.

-

password

Обязательный параметр в группе MaxPatrol VM settings.

Пароль пользователя MaxPatrol API.

-

secret

Обязательный параметр в группе MaxPatrol VM settings.

Секрет MaxPatrol API

-

ignore_server_cert

Необязательный параметр в группе MaxPatrol VM settings.

Проверка сертификата MaxPatrol.

Доступные значения:

  • true - отключить проверку сертификата MaxPatrol.
  • false - выполнить проверку сертификата MaxPatrol.

Параметр не включен в шаблон конфигурационного файла. Вы можете указать параметр со значением true вручную, в случае возникновения ошибки "tls: failed to verify certificate: x509: certificate is valid for localhost". В таком случае при запуске утилита kuma-ptvm не будет проверять сертификат.

Мы рекомендуем выписать сертификат в соответствии с документацией MaxPatrol, как предпочтительный способ устранения ошибки.

only_exploitable

Необязательный параметр в группе Vulnerability filter.

Экспортировать из MaxPatrol только активы с уязвимостями, для которых известны эксплойты.

Доступные значения:

  • true - экспортировать только активы с уязвимостями, для которых известны эксплойты.
  • false - экспортировать все активы.

Значение по умолчанию: false.

min_severity

Необязательный параметр в группе Vulnerability filter.

Импортировать только уязвимости указанного уровня и выше.

Доступные значения:

  • low
  • medium
  • high
  • critical

Значение по умолчанию: low.

id

Обязательный параметр в группе Tenant map.

Идентификатор тенанта в KUMA.

Активы распределяются по тенантам в том порядке, в каком тенанты указаны в конфигурационном файле: чем выше тенант в списке, тем выше у него приоритет. Таким образом вы можете указывать и перекрывающиеся подсети.

-

fqdn

Необязательный параметр в группе Tenant map.

Регулярное выражение для поиска FQDN актива.

-

networks

Необязательный параметр в группе Tenant map.

Одна или несколько подсетей.

-

default_tenant

Необязательный параметр.

Идентификатор тенанта KUMA по умолчанию, куда будут поступать данные об активах, которые не удалось распределить по тенантам, заданным в группе параметров Tenants.

-

В начало
[Topic 267952]

Импорт информации об активах из KICS for Networks

После создания интеграции с KICS for Networks задачи на получение данных об активах KICS for Networks создаются автоматически. Это происходит в следующих случаях:

  • Сразу после создания новой интеграции.
  • Сразу после изменения параметров существующей интеграции.
  • Регулярно по расписанию каждые несколько часов. По умолчанию каждые 12 часов. Расписание можно изменить.

Задачи на обновление данных об учетных записях можно создать вручную.

Чтобы запустить задачу на обновление данных об активах for Networks для тенанта:

  1. Откройте в веб-интерфейсе KUMA разделе ПараметрыKICS/KATA.
  2. Выберите требуемый тенант.

    Откроется окно Интеграция с KICS/KATA.

  3. Нажмите на кнопку Импортировать активы.

В разделе Диспетчер задач веб-интерфейса KUMA добавлена задача на получение данных об учетных записях выбранного тенанта.

В начало
[Topic 233671]

Примеры сравнения полей активов при импорте

Каждый импортируемый актив сравнивается с активом KUMA.

Проверка на совпадение значений в полях IP, MAC, FQDN по двум полям

Сравниваемые активы

Сравниваемые поля

FQDN

IP

MAC

Актив KUMA

Заполнено

Заполнено

Не заполнено

Импортируемый актив 1

Заполнено, совпадает

Заполнено, совпадает

Заполнено

Импортируемый актив 2

Заполнено, совпадает

Заполнено, совпадает

Не заполнено

Импортируемый актив 3

Заполнено, совпадает

Не заполнено

Заполнено

Импортируемый актив 4

Не заполнено

Заполнено, совпадает

Заполнено

Импортируемый актив 5

Заполнено, совпадает

Не заполнено

Не заполнено

Импортируемый актив 6

Не заполнено

Не заполнено

Заполнено

Результаты сравнения:

  • Импортируемый актив 1 и актив KUMA: для обоих активов заполнены и совпадают поля FQDN и IP, по полю MAC нет противоречия. Активы будут объединены.
  • Импортируемый актив 2 и актив KUMA: для обоих активов заполнены и совпадают поля FQDN и IP. Активы будут объединены.
  • Импортируемый актив 3 и актив KUMA: для обоих активов заполнены и совпадают поля FQDN и MAC, по полю IP нет противоречия. Активы будут объединены.
  • Импортируемый актив 4 и актив KUMA: для обоих активов заполнено и совпадает поле IP, по полям FQDN и MAC нет противоречия. Активы будут объединены.
  • Импортируемый актив 5 и актив KUMA: для обоих активов заполнено и совпадает поле FQDN, по полям IP и MAC нет противоречия. Активы будут объединены.
  • Импортируемый актив 6 и актив KUMA: для активов нет ни одного совпадающего поля. Активы не объединяются.

Проверка на совпадение значений в полях IP, MAC, FQDN по одному полю

Сравниваемые активы

Сравниваемые поля

FQDN

IP

MAC

Актив KUMA

Не заполнено

Заполнено

Не заполнено

Импортируемый актив 1

Заполнено

Заполнено, совпадает

Есть

Импортируемый актив 2

Заполнено

Заполнено, совпадает

Не заполнено

Импортируемый актив 3

Заполнено

Не заполнено

Заполнено

Импортируемый актив 4

Не заполнено

Не заполнено

Заполнено

Результаты сравнения:

  • Импортируемый актив 1 и актив KUMA: для обоих активов заполнено и совпадает поле IP, по полям FQDN и MAC нет противоречия. Активы будут объединены.
  • Импортируемый актив 2 и актив KUMA: заполнено и совпадает поле IP, по полям FQDN и MAC нет противоречия. Активы будут объединены.
  • Импортируемый актив 3 и актив KUMA: для активов нет ни одного совпадающего поля. Активы не объединяются.
  • Импортируемый актив 4 и актив KUMA: для активов нет ни одного совпадающего поля. Активы не объединяются.
В начало
[Topic 243031]