Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Интеграция с NeuroDAT SIEM IM

Система NeuroDAT SIEM IM предназначена для мониторинга информационной безопасности.

Вы можете настроить передачу событий KUMA в NeuroDAT SIEM IM. На основе поступающих событий и правил корреляции в системе NeuroDAT SIEM IM автоматически формируются инциденты информационной безопасности.

Чтобы настроить интеграцию с NeuroDAT SIEM IM:

  1. Подключитесь к серверу NeuroDAT SIEM IM по протоколу SSH под учётной записью с административными привилегиями.
  2. Создайте резервную копию конфигурационного файла /opt/apache-tomcat-<версия сервера>/conf/neurodat/soz_settings.properties.
  3. В конфигурационном файле /opt/apache-tomcat-<версия сервера>/conf/neurodat/soz_settings.properties установите указанные значения для следующих параметров:
    • kuma.on=true

      Этот параметр является признаком взаимодействия с NeuroDAT SIEM IM с KUMA.

    • job_kuma=com.cbi.soz.server.utils.scheduler.KumaIncidentsJob
    • jobDelay_kuma=5000
    • jobPeriod_kuma=60000
  4. Сохраните изменения конфигурационного файла.
  5. Перезапустите сервис tomcat с помощью команды:

    sudo systemctl restart tomcat

  6. Получите токен для пользователя в KUMA. Для этого выполните следующие действия:
    1. Откройте веб-интерфейс KUMA, в левом нижнем углу окна нажмите на имя учетной записи пользователя и в открывшемся меню нажмите на кнопку Профиль.

      Откроется окно Пользователь с параметрами вашей учетной записи.

    2. Нажмите на кнопку Сгенерировать токен.

      Откроется окно Новый токен.

    3. Если требуется, установите срок действия токена:
      • Установите флажок Без окончания срока действия.
      • В поле Срок действия с помощью календаря укажите дату и время истечения срока действия создаваемого токена.
    4. Нажмите на кнопку Сгенерировать токен.

      В области деталей пользователя отобразится поле Токен с автоматически созданным токеном. Скопируйте его.

      При закрытии окна токен больше не отображается, и, если вы его не скопировали, потребуется сгенерировать новый токен.

    5. Нажмите Сохранить.
  7. Войдите в NeuroDAT SIEM IM под учетной записью admin или другой учётной записью, обладающей ролью Администратор для настраиваемой организации или Администратор всех организаций.
  8. В пункте меню Администрирование → Структура организации выберите или создайте организацию, которая будет получать инциденты из KUMA.
  9. На форме организации выполните следующие действия:
    1. Установите флажок Настроить интеграцию с KUMA.
    2. В поле IP адрес и сетевой порт KUMA укажите адрес API KUMA, например https://192.168.58.27:7223/api/v1/.
    3. В поле Ключ API KUMA укажите токен пользователя, полученный на шаге 6.
    4. Сохраните данные организации.

Настройка интеграции с KUMA будет завершена.

NeuroDAT SIEM IM выполнит проверку доступа к KUMA и в случае успеха отобразит сообщение о готовности получать данные из KUMA.

В начало
[Topic 259584]