Интеграция с Kaspersky Web Traffic Security

Эта интеграция является примером и может потребовать дополнительной настройки в зависимости от используемых версий и особенностей инфраструктуры.
Совместимость подтверждена только для KUMA версии 2.0 и выше и Kaspersky Web Traffic Security версии 6.0 и выше.
Условия премиальной технической поддержки не распространяются на эту интеграцию, запросы на поддержку рассматриваются без гарантированного времени ответа.

Вы можете настроить интеграцию с системой анализа и фильтрации веб-трафика Kaspersky Web Traffic Security (далее также "KWTS").

Настройка интеграции заключается в создании правил реагирования KUMA, которые позволяют запускать задачи KWTS. Задачи должны быть предварительно созданы в веб-интерфейсе KWTS.

Настройка интеграции состоит из следующих этапов:

1. Настройка интеграции в KWTS
2. Подготовка скрипта для правила реагирования
3. Настройка правила реагирования KUMA

Настройка интеграции в KWTS

Чтобы подготовиться к интеграции в KWTS:

1. Подключитесь к веб-интерфейсу KWTS под учетной записью администратора и создайте роль с правами на просмотр и создание/изменение правила.

   Подробнее о создании роли см. справку Kaspersky Web Traffic Security.

2. Назначьте созданную роль пользователю с NTML-аутентификацией.

   Вместо этого вы можете использовать учетную запись локального администратора.

3. В разделе Правила перейдите на вкладку Доступ и нажмите Добавить правило.
4. В раскрывающемся списке Действие выберите Заблокировать.
5. В раскрывающемся списке Фильтрация трафика выберите значение URL и в поле справа укажите несуществующий или заведомо вредоносный адрес.
6. В поле Название правила укажите название правила.
7. Включите использование правила с помощью переключателя Статус.
8. Нажмите на кнопку Добавить.
9. В веб-интерфейсе KWTS откройте только что созданное правило.
10. Запишите значение ID, отображаемое в конце адреса страницы в адресной строке браузера.

    Это значение будет использовано при настройке правила реагирования в KUMA.

Подготовка к интеграции в KWTS будет завершена.

Подготовка скрипта для интеграции с KWTS

Чтобы подготовить скрипт к использованию:

1. Скопируйте идентификатор коррелятора, по правилам корреляции которого должна срабатывать блокировка URL, IP-адреса или доменного имени в KWTS:
   1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Активные сервисы.
   2. Установите флажок рядом с коррелятором, идентификатор которого вы хотите получить, и нажмите Копировать идентификатор.

      Идентификатор коррелятора будет помещен в буфер обмена.

2. Чтобы получить скрипт и библиотеку, обратитесь к сотруднику технической поддержки.
3. Разместите полученный от сотрудника технической поддержки скрипт на сервере коррелятора KUMA по пути /opt/kaspersky/kuma/correlator/<ID коррелятора из шага 1>/scripts/.
4. Подключитесь к серверу коррелятора по протоколу SSH и перейдите по пути из шага 3 при помощи команды:

   cd /opt/kaspersky/kuma/correlator/<ID коррелятора из шага 1>/scripts/

5. Выполните команду:

   chmod +x kwts.py kwtsWebApiV6.py && chown kuma:kuma kwts.py kwtsWebApiV6.py

Скрипт будет готов к использованию.

Настройка правила реагирования для интеграции с KWTS

Чтобы настроить правило реагирования:

1. Создайте правило реагирования:
   1. В веб-интерфейсе KUMA выберите раздел Ресурсы → Правила реагирования и нажмите на кнопку Добавить правило реагирования.
   2. В открывшемся окне Создание правила реагирования в поле Название укажите название правила.
   3. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
   4. В раскрывающемся списке Тип выберите Запуск скрипта.
   5. В поле Название скрипта укажите имя скрипта. kwts.py.
   6. В поле Аргументы скрипта укажите:
      • --host – адрес сервера KWTS.
      • --username – имя учетной записи пользователя, созданной в KWTS, или локального администратора.
      • --password – пароль учетной записи пользователя KWTS.
      • --rule_id – ID правила, созданного в KWTS.
      • Укажите один из ключей в соответствии с типом блокируемого объекта:
        • --url – укажите поле события KUMA, из которого вы хотите получать URL, например {{.RequestUrl}}.
        • --ip – укажите поле события KUMA, из которого вы хотите получать IP-адрес, например {{.DestinationAddress}}.
        • --domain – укажите поле события KUMA, из которого вы хотите получать доменное имя, например {{.DestinationHostName}}.
      • --ntlm – укажите этот ключ, если пользователь KWTS был создан с NTLM-аутентификацией.

        Пример: --host <address> --username <user> --password <pass> --rule_id <id> --url {{.RequestUrl}}

   7. В блоке Условия добавьте условия, соответствующие правилам корреляции, по срабатыванию которых необходима блокировка в KWTS.
   8. Нажмите Сохранить.
2. Добавьте созданное правило реагирования в коррелятор:
   1. В разделе Ресурсы → Корреляторы выберите коррелятор, который будет выполнять реагирование и в папку которого вы поместили скрипт.
   2. В дереве шагов выберите Правила реагирования.
   3. Нажмите на кнопку Добавить.
   4. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 1 этой инструкции.
   5. В дереве шагов выберите Проверка параметров.
   6. Нажмите на кнопку Сохранить и обновить параметры сервисов.
   7. Нажмите на кнопку Сохранить.

Правило реагирования будет привязано к коррелятору и готово к использованию.