Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Настройка отображения ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации о событии KUMA

При получении обнаружений Kaspersky Endpoint Detection and Response в KUMA создается алерт для каждого обнаружения. Вы можете настроить отображение ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации об алерте KUMA.

Вы можете настроить отображение ссылки на обнаружение, если используете только один сервер Central Node Kaspersky Endpoint Detection and Response. Если Kaspersky Endpoint Detection and Response используется в режиме распределенного решения, настроить отображение ссылок в KUMA на обнаружения Kaspersky Endpoint Detection and Response невозможно.

Для настройки отображения ссылки на обнаружение в информации об алерте KUMA вам требуется выполнить действия в веб-интерфейсе Kaspersky Endpoint Detection and Response и KUMA.

В веб-интерфейсе Kaspersky Endpoint Detection and Response вам нужно настроить интеграцию программы с KUMA в качестве SIEM-системы. Подробнее о том, как настроить интеграцию, см. в справке Kaspersky Anti Targeted Attack Platform в разделе Настройка интеграции с SIEM-системой.

Настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

  1. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории.
  2. Создание правила корреляции.
  3. Создание коррелятора.

Вы можете использовать преднастроенное корреляционное правило. В этом случае настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

  1. Создание коррелятора.

    В качестве правила корреляции вам нужно выбрать правило [OOTB] KATA Alert.

  2. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории КАТА standAlone.

Шаг 1. Добавление актива и назначение ему категории

Предварительно вам нужно создать категорию, которая будет назначена добавляемому активу.

Чтобы добавить категорию:

  1. В веб-интерфейсе KUMA выберите раздел Активы.
  2. На вкладке Все активы разверните список категорий тенанта, нажав на кнопку filter-plus рядом с его названием.
  3. Выберите требуемую категорию или подкатегорию и нажмите на кнопку Добавить категорию.

    В правой части окна веб-интерфейса отобразится область деталей Добавить категорию.

  4. Укажите параметры категории:
    1. В поле Название введите название категории.
    2. В поле Родительская категория укажите место категории в дереве категорий. Для этого нажмите на кнопку и выберите родительскую категорию для создаваемой вами категории.

      Выбранная категория отобразится в поле Родительская категория.

    3. При необходимости укажите значения для следующих параметров:
      • Назначьте уровень важности категории в раскрывающемся списке Уровень важности.

        Указанный уровень важности присваивается корреляционным событиям и алертам, связанным с этим активом.

      • При необходимости в поле Описание добавьте описание категории.
      • В раскрывающемся списке Способ категоризации выберите, как категория будет пополняться активами. В зависимости от выбора может потребоваться указать дополнительные параметры:
        • Вручную – активы можно привязать к категории только вручную.
        • Активно – активы будут с определенной периодичностью привязываться к категории, если удовлетворяют заданному фильтру.
          1. В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.

            Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.

          2. В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.

            Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять с помощью кнопок Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.

            Операнды и операторы фильтра категоризации

            Операнд

            Операторы

            Комментарий

            Номер сборки

            >, >=, =, <=, <

             

            ОС

            =, like

            Оператор like обеспечивает регистронезависимый поиск.

            IP-адрес

            inSubnet, inRange

            IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24).

            При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.

            Полное доменной имя

            =, like

            Оператор like обеспечивает регистронезависимый поиск.

            CVE

            =, in

            Оператор in позволяет указать массив значений.

            ПО

            =, like

             

            КИИ

            in

            Можно выбрать более одного значения.

            Последнее обновление антивирусных баз

            >=,<=

             

            Последнее обновление информации

            >=,<=

             

            Последнее обновление защиты

            >=,<=

             

            Время начала последней сессии

            >=,<=

             

            Расширенный статус KSC

            in

            Расширенный статус устройства.

            Можно выбрать более одного значения.

            Статус постоянной защиты

            =

            Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.

            Статус шифрования

            =

             

            Статус защиты от спама

            =

             

            Статус антивирусной защиты почтовых серверов

            =

             

            Статус защиты данных от утечек

            =

             

            Идентификатор расширенного статуса KSC

            =

             

            Статус Endpoint Sensor

            =

             

            Последнее появление в сети

            >=,<=

             

          3. С помощью кнопки Проверить условия убедитесь, что указанный фильтр верен: при нажатии на кнопку отображается окно Активы, найденные по заданным условиям с перечнем активов, удовлетворяющих условиям поиска.
        • Реактивно – категория будет наполняться активами с помощью правил корреляции.
  5. Нажмите на кнопку Сохранить.

Чтобы добавить актив:

  1. В веб-интерфейсе KUMA выберите раздел Активы.
  2. Нажмите на кнопку Добавить актив.

    В правой части окна откроется область деталей Добавить актив.

  3. Укажите следующие параметры актива:
    1. В поле Название актива введите имя актива.
    2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать актив.
    3. В поле IP-адрес укажите IP-адрес сервера Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения.
    4. В поле Категории выберите категорию, которую добавили на предыдущем этапе.

      Если вы используете предустановленное корреляционное правило, вам нужно выбрать категорию КАТА standAlone.

    5. При необходимости укажите значения для следующих полей:
      • В поле Полное доменное имя укажите FQDN сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле MAC-адрес укажите MAC-адрес сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле Владелец укажите имя владельца актива.
  4. Нажмите на кнопку Сохранить.

Шаг 2. Добавление правила корреляции

Чтобы добавить правило корреляции:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. Выберите Правила корреляции и нажмите на кнопку Создать правило корреляции.
  3. На вкладке Общие укажите следующие параметры:
    1. В поле Название укажите название правила.
    2. В раскрывающемся списке Тип выберите simple.
    3. В поле Наследуемые поля добавьте следующие поля: DeviceProduct, DeviceAddress, EventOutcome, SourceAssetID, DeviceAssetID.
    4. При необходимости укажите значения для следующих полей:
      • В поле Частота срабатывания укажите максимальное количество срабатываний правила в секунду.
      • В поле Уровень важности укажите уровень важности алертов и корреляционных событий, которые будут созданы в результате срабатывания правила.
      • В поле Описание укажите любую дополнительную информацию.
  4. На вкладке СелекторыПараметры укажите следующие параметры:
    1. В раскрывающемся списке Фильтр выберите Создать.
    2. В поле Условия нажмите на кнопку Добавить группу.
    3. В поле с оператором для добавленной группы выберите И.
    4. Добавьте условие для фильтрации по значению KATA:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceProduct.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите KATA.
    5. Добавьте условие для фильтрации по категории:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceAssetID.
      5. В поле оператор выберите inCategory.
      6. В поле Правый операнд выберите константа.
      7. Нажмите на кнопку .
      8. Выберите категорию, в которую вы поместили актив сервера Central Node Kaspersky Endpoint Detection and Response.
      9. Нажмите на кнопку Сохранить.
    6. В поле Условия нажмите на кнопку Добавить группу.
    7. В поле с оператором для добавленной группы выберите ИЛИ.
    8. Добавьте условие для фильтрации по идентификатору класса события:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите поле события.
      4. В поле поле события выберите DeviceEventClassID.
      5. В поле оператор выберите =.
      6. В поле Правый операнд выберите константа.
      7. В поле значение введите taaScanning.
    9. Повторите шаги 1–7 пункта f для каждого из следующих идентификаторов классов событий:
      • file_web.
      • file_mail.
      • file_endpoint.
      • file_external.
      • ids.
      • url_web.
      • url_mail.
      • dns.
      • iocScanningEP.
      • yaraScanningEP.
  5. На вкладке Действия укажите следующие параметры:
    1. В разделе Действия откройте раскрывающийся список На каждом событии.
    2. Установите флажок Отправить на дальнейшую обработку.
    3. В разделе Обогащение нажмите на кнопку Добавить обогащение.
    4. В раскрывающемся списке Тип источника данных выберите шаблон.
    5. В поле Шаблон введите https://{{.DeviceAddress}}:8443/katap/#/alerts?id={{.EventOutcome}}.
    6. В раскрывающемся списке Целевое поле выберите DeviceExternalID.
    7. При необходимости переведите переключатель Отладка в активное положение, чтобы зарегистрировать информацию, связанную с работой ресурса, в журнал.
  6. Нажмите на кнопку Сохранить.

Шаг 3. Создание коррелятора

Вам нужно запустить мастер установки коррелятора. На шаге 3 мастера вам требуется выбрать правило корреляции, добавленное при выполнении этой инструкции.

После завершения создания коррелятора в информации об алертах, созданных при получении обнаружений из Kaspersky Endpoint Detection and Response, будет отображаться ссылка на эти обнаружения. Ссылка отображается в информации о корреляционном событии (раздел Связанные события), в поле DeviceExternalID.

Если вы хотите, чтобы в поле DeviceHostName в информации об обнаружении отображался FQDN сервера Central Node Kaspersky Endpoint Detection and Response, вам нужно создать запись для этого сервера в системе DNS и на шаге 4 мастера создать правило обогащения с помощью DNS.

В начало
[Topic 239080]