Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Настройка правила реагирования для интеграции с KSMG

Чтобы настроить правило реагирования:

  1. Создайте правило реагирования:
    1. В веб-интерфейсе KUMA выберите раздел Ресурсы → Правила реагирования и нажмите на кнопку Добавить правило реагирования.
    2. В открывшемся окне Создание правила реагирования в поле Название укажите название правила.
    3. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
    4. В раскрывающемся списке Тип выберите Запуск скрипта.
    5. В поле Название скрипта укажите имя скрипта. ksmg.py.
    6. В поле Аргументы скрипта укажите:
      • --host – адрес сервера KSMG.
      • --username – имя учетной записи пользователя, созданной в KSMG.

        Вы можете указать учетную запись Administrator.

      • --password – пароль учетной записи пользователя KSMG.
      • --rule_id – ID правила, созданного в KSMG.
      • Укажите один из ключей в соответствии с типом блокируемого объекта:
        • --email – укажите поле события KUMA, из которого вы хотите получать email, например {{.SourceUserName}}.
        • --ip – укажите поле события KUMA, из которого вы хотите получать IP-адрес, например {{.SourceAddress}}.
      • --ntlm – укажите этот ключ, если пользователь KSMG был создан с NTLM-аутентификацией.

        Пример:

        --host <address> --username <user> --password <pass> --ntlm --rule_id <id> --email {{.SourceUserName}}
    7. В блоке Условия добавьте условия, соответствующие правилам корреляции, по срабатыванию которых необходима блокировка IP-адреса или адреса электронной почты отправителя сообщения в KSMG.
    8. Нажмите Сохранить.
  2. Добавьте созданное правило реагирования в коррелятор:
    1. В разделе Ресурсы → Корреляторы выберите коррелятор, который будет выполнять реагирование и в папку которого вы поместили скрипт.
    2. В дереве шагов выберите Правила реагирования.
    3. Нажмите на кнопку Добавить.
    4. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 1 этой инструкции.
    5. В дереве шагов выберите Проверка параметров.
    6. Нажмите на кнопку Сохранить и обновить параметры сервисов.
    7. Нажмите на кнопку Сохранить.

Правило реагирования будет привязано к коррелятору и готово к использованию.

В начало
[Topic 259356]