Интеграция с Kaspersky Secure Mail Gateway

Эта интеграция является примером и может потребовать дополнительной настройки в зависимости от используемых версий и особенностей инфраструктуры.
Совместимость подтверждена только для KUMA версии 2.0 и выше и Kaspersky Secure Mail Gateway версии 2.0 и выше.
Условия премиальной технической поддержки не распространяются на эту интеграцию, запросы на поддержку рассматриваются без гарантированного времени ответа.

Вы можете настроить интеграцию с системой анализа и фильтрации почтового трафика Kaspersky Secure Mail Gateway (далее также "KSMG").

Настройка интеграции заключается в создании правил реагирования KUMA, которые позволяют запускать задачи KSMG. Задачи должны быть предварительно созданы в веб-интерфейсе KSMG.

Настройка интеграции состоит из следующих этапов:

1. Настройка интеграции в KSMG
2. Подготовка скрипта для правила реагирования
3. Настройка правила реагирования KUMA

Настройка интеграции в KSMG

Чтобы подготовиться к интеграции в KSMG:

1. Подключитесь к веб-интерфейсу KSMG под учетной записью администратора и создайте роль с правами на просмотр и создание/изменение правила.

   Подробнее о создании роли см. справку Kaspersky Secure Mail Gateway.

2. Назначьте созданную роль пользователю с NTML-аутентификацией.

   Вы можете использовать учетную запись локального администратора Administrator.

3. В разделе Правила нажмите Создать.
4. В левой панели выберите раздел Общие.
5. Включите использование правила с помощью переключателя Статус.
6. В поле Название правила введите название нового правила.
7. В блоке параметров Режим выберите один из вариантов обработки сообщений, соответствующий критериям этого правила.
8. В блоке параметров Отправитель на вкладке Адреса эл. почты укажите несуществующий или заведомо вредоносный адрес отправителя.
9. В блоке параметров Получатель на вкладке Адреса эл. почты укажите требуемых получателей или символ "*", чтобы выбрать всех получателей.
10. Нажмите на кнопку Сохранить.
11. В веб-интерфейсе KSMG откройте только что созданное правило.
12. Запишите значение ID, отображаемое в конце адреса страницы в адресной строке браузера.

    Это значение будет использовано при настройке правила реагирования в KUMA.

Подготовка к интеграции в KSMG будет завершена.

Подготовка скрипта для интеграции с KSMG

Чтобы подготовить скрипт к использованию:

1. Скопируйте идентификатор коррелятора, по правилам корреляции которого должна срабатывать блокировка IP-адреса или адреса электронной почты отправителя сообщения в KSMG:
   1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Активные сервисы.
   2. Установите флажок рядом с коррелятором, идентификатор которого вы хотите получить, и нажмите Копировать идентификатор.

      Идентификатор коррелятора будет помещен в буфер обмена.

2. Чтобы получить скрипт и библиотеку, обратитесь к сотруднику технической поддержки.
3. Разместите полученный от сотрудника технической поддержки скрипт на сервере коррелятора KUMA по пути /opt/kaspersky/kuma/correlator/<ID коррелятора из шага 1>/scripts/.
4. Подключитесь к серверу коррелятора по протоколу SSH и перейдите по пути из шага 3 при помощи команды:

   cd /opt/kaspersky/kuma/correlator/<ID коррелятора из шага 1>/scripts/

5. Выполните команду:

   chmod +x ksmg.py ksmgWebApiV2.py && chown kuma:kuma ksmg.py ksmgWebApiV2.py

Скрипт будет готов к использованию.

Настройка правила реагирования для интеграции с KSMG

Чтобы настроить правило реагирования:

1. Создайте правило реагирования:
   1. В веб-интерфейсе KUMA выберите раздел Ресурсы → Правила реагирования и нажмите на кнопку Добавить правило реагирования.
   2. В открывшемся окне Создание правила реагирования в поле Название укажите название правила.
   3. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
   4. В раскрывающемся списке Тип выберите Запуск скрипта.
   5. В поле Название скрипта укажите имя скрипта. ksmg.py.
   6. В поле Аргументы скрипта укажите:
      • --host – адрес сервера KSMG.
      • --username – имя учетной записи пользователя, созданной в KSMG.

        Вы можете указать учетную запись Administrator.

      • --password – пароль учетной записи пользователя KSMG.
      • --rule_id – ID правила, созданного в KSMG.
      • Укажите один из ключей в соответствии с типом блокируемого объекта:
        • --email – укажите поле события KUMA, из которого вы хотите получать email, например {{.SourceUserName}}.
        • --ip – укажите поле события KUMA, из которого вы хотите получать IP-адрес, например {{.SourceAddress}}.
      • --ntlm – укажите этот ключ, если пользователь KSMG был создан с NTLM-аутентификацией.

        Пример: --host <address> --username <user> --password <pass> --ntlm --rule_id <id> --email {{.SourceUserName}}

   7. В блоке Условия добавьте условия, соответствующие правилам корреляции, по срабатыванию которых необходима блокировка IP-адреса или адреса электронной почты отправителя сообщения в KSMG.
   8. Нажмите Сохранить.
2. Добавьте созданное правило реагирования в коррелятор:
   1. В разделе Ресурсы → Корреляторы выберите коррелятор, который будет выполнять реагирование и в папку которого вы поместили скрипт.
   2. В дереве шагов выберите Правила реагирования.
   3. Нажмите на кнопку Добавить.
   4. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 1 этой инструкции.
   5. В дереве шагов выберите Проверка параметров.
   6. Нажмите на кнопку Сохранить и обновить параметры сервисов.
   7. Нажмите на кнопку Сохранить.

Правило реагирования будет привязано к коррелятору и готово к использованию.