Отправка уведомлений в Telegram

Эта интеграция является примером и может потребовать дополнительной настройки в зависимости от используемых версий и особенностей инфраструктуры.
Совместимость подтверждена только для версии KUMA 2.0 и выше.
Условия премиальной технической поддержки не распространяются на эту интеграцию, запросы на поддержку рассматриваются без гарантированного времени ответа.

Вы можете настроить отправку уведомлений в Telegram о срабатывании правил корреляции KUMA. Это позволит уменьшить время реакции на угрозы и при необходимости расширить круг информированных лиц.

Настройка отправки уведомлений в Telegram состоит из следующих этапов:

1. Создание и настройка бота в Telegram

   Уведомления о срабатывании правил корреляции отправляет специально созданный бот. Он может отправлять уведомления в личный или групповой чат Telegram.

2. Создание скрипта для отправки уведомлений

   Вам необходимо создать скрипт и сохранить его на сервере, где установлен коррелятор.

3. Настройка отправки уведомлений в KUMA

   Настройте правило реагирования KUMA, запускающее скрипт для отправки уведомлений, и добавьте это правило в коррелятор.

Создание и настройка бота в Telegram

Чтобы создать и настроить бот в Telegram:

1. В приложении Telegram найдите бот BotFather и откройте чат с ним.
2. В чате нажмите на кнопку Старт.
3. Создайте новый бот при помощи команды:

   /newbot

4. Введите имя бота.
5. Введите логин бота.

   Бот будет создан. Вы получите ссылку на чат вида t.me/<логин бота> и токен для обращения к боту.

6. Если вы хотите использовать бота в групповом чате,а не в личных сообщениях, необходимо изменить настройки приватности:
   1. В чате бота BotFather введите команду:

      /mybots

   2. Выберите нужный бот из списка.
   3. Нажмите Bot Settings → Group Privacy и выберите опцию Turn off.

      Бот сможет отправлять сообщения в групповые чаты.

7. Откройте чат с созданным ботом по ссылке вида t.me/<логин бота>, полученной на шаге 5, и нажмите на кнопку Старт.
8. Если вы хотите, чтобы бот отправлял личные сообщения пользователю:
   1. В чате с созданным ботом отправьте произвольное сообщение.
   2. Перейдите по ссылке https://t.me/getmyid_bot и нажмите на кнопку Старт.
   3. В ответе вы получите значение Current chat ID. Это значение понадобится при настройке отправки сообщений.
9. Если вы хотите, чтобы бот отправлял сообщения в групповой чат:
   1. Добавьте бот https://t.me/getmyid_bot в групповой чат, предназначенный для получения уведомлений от KUMA.

      Бот пришлет в групповой чат сообщение, в котором будет указано значение Current chat ID. Это значение понадобится при настройке отправки сообщений.

   2. Удалите бот из группы.
10. Отправьте тестовое сообщение через бот. Для этого в адресную строку браузера вставьте следующую ссылку:

    https://api.telegram.org/bot<token>/sendMessage?chat_id=<chat_id>&text=test

    где <token> – значение, полученное на шаге 5, <chat_id> – значение, полученное на шаге 8 или 9.

В результате в личном или групповом чате должно появиться тестовое сообщение, а в ответе браузера JSON не должен содержать ошибок.

Создание скрипта для отправки уведомлений

Чтобы создать скрипт:

1. В консоли сервера, на котором установлен коррелятор, создайте файл скрипта и добавьте в него следующие строки:

   #!/bin/bash

   set -eu

   CHAT_ID=<значение Current chat ID, полученное на шаге 8 или 9 инструкции по настройке бота Telegram>

   TG_TOKEN=<значение токена, полученное на шаге 5 инструкции по настройке бота Telegram>

   RULE=$1

   TEXT="Сработало правило <b>$RULE</b>"

   curl --data-urlencode "chat_id=$CHAT_ID" --data-urlencode "text=$TEXT" --data-urlencode "parse_mode=HTML" https://api.telegram.org/bot$TG_TOKEN/sendMessage

   Если на сервере коррелятора нет доступа к интернету, вы можете использовать прокси-сервер:

   #!/bin/bash

   set -eu

   CHAT_ID=<значение Current chat ID, полученное на шаге 8 или 9 инструкции по настройке бота Telegram>

   TG_TOKEN=<значение токена, полученное на шаге 5 инструкции по настройке бота Telegram>

   RULE=$1

   TEXT="Сработало правило <b>$RULE</b>"

   PROXY=<адрес и порт прокси-сервера>

   curl --proxy $PROXY --data-urlencode "chat_id=$CHAT_ID" --data-urlencode "text=$TEXT" --data-urlencode "parse_mode=HTML" https://api.telegram.org/bot$TG_TOKEN/sendMessage

2. Сохраните скрипт в директорию коррелятора, расположенную по пути /opt/kaspersky/kuma/correlator/<ID коррелятора, который будет реагировать на события>/scripts/.

   Информацию о том, как узнать ID коррелятора, см. в разделе Получение идентификатора сервиса.

3. Назначьте пользователя kuma владельцем файла и дайте права на исполнение при помощи следующих команд:

   chown kuma:kuma /opt/kaspersky/kuma/correlator/<ID коррелятора, который будет реагировать>/scripts/<имя скрипта>.sh

   chmod +x /opt/kaspersky/kuma/correlator/<ID коррелятора, который будет реагировать>/scripts/<имя скрипта>.sh

Настройка отправки уведомлений в KUMA

Чтобы настроить отправку уведомлений KUMA в Telegram:

1. Создайте правило реагирования:
   1. В веб-интерфейсе KUMA выберите раздел Ресурсы → Правила реагирования и нажмите на кнопку Добавить правило реагирования.
   2. В открывшемся окне Создание правила реагирования в поле Название укажите название правила.
   3. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
   4. В раскрывающемся списке Тип выберите Запуск скрипта.
   5. В поле Название скрипта укажите имя скрипта..
   6. В поле Аргументы скрипта укажите {{.Name}}.

      В качестве аргумента выполнения скрипта будет передаваться имя корреляционного события.

   7. Нажмите Сохранить.
2. Добавьте созданное правило реагирования в коррелятор:
   1. В разделе Ресурсы → Корреляторы выберите коррелятор, в папку которого вы поместили созданный скрипт для отправки уведомлений.
   2. В дереве шагов выберите Правила реагирования.
   3. Нажмите на кнопку Добавить.
   4. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 1 этой инструкции.
   5. В дереве шагов выберите Проверка параметров.
   6. Нажмите на кнопку Сохранить и перезапустить сервисы.
   7. Нажмите на кнопку Сохранить.

Отправка уведомлений о срабатывании правил KUMA в Telegram будет настроена.