Интеграция с Security Orchestration Automation and Response Platform (SOAR)

Security Orchestration Automation and Response Platform (далее SOAR) – это программная платформа для автоматизации мониторинга, обработки и реагирования на инциденты информационной безопасности. Она объединяет данные о киберугрозах из различных источников в единую базу данных для дальнейшего анализа и расследования, что позволяет облегчить реагирование на инциденты.

SOAR можно интегрировать с KUMA. После настройки интеграции в SOAR можно выполнять следующие задачи:

• Запрашивать из KUMA сведения об алертах. При этом в SOAR по полученным данным создаются инциденты.
• Отправлять в KUMA запросы на закрытие алертов.

Интеграция реализована с помощью KUMA REST API. На стороне Security Vision IRP интеграция осуществляется с помощью преднастроенного коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика SOAR.

Работа с инцидентами SOAR

Инциденты SOAR, созданные на основе данных об алертах KUMA, можно просмотреть в SOAR в разделе Инциденты → Инциденты (2 линии) → Все инциденты (2 линии). В каждый инцидент SOAR записываются события, относящиеся к алертам KUMA. Импортированные события можно просмотреть на вкладке Реагирование.

Алерт KUMA, импортированный в SOAR в качестве инцидента

Настройка интеграции в KUMA

Для того чтобы настроить интеграцию KUMA и SOAR необходимо настроить авторизацию API-запросов в KUMA. Для этого требуется создать токен для пользователя KUMA, от имени которого будут обрабатываться API-запросы на стороне KUMA.

Токен можно сгенерировать в профиле своей учетной записи. Пользователи с ролью главный администратор могут генерировать токены в учетных записях других пользователей. Вы всегда можете сгенерировать новый токен.

Чтобы сгенерировать токен в профиле своей учетной записи:

1. В веб-интерфейсе KUMA в левом нижнем углу окна нажмите на имя учетной записи пользователя и в открывшемся меню нажмите на кнопку Профиль.

   Откроется окно Пользователь с параметрами вашей учетной записи.

2. Нажмите на кнопку Сгенерировать токен.
3. В открывшемся окне скопируйте созданный токен. Он потребуется для настройки SOAR.

   При закрытии окна токен больше не отображается, и, если вы его не скопировали, потребуется сгенерировать новый токен.

Сгенерированный токен требуется указать в параметрах коннектора SOAR.

Настройка интеграции в SOAR

Настройка интеграции в SOAR заключается в импорте и настройке коннектора. При необходимости можно также изменить другие параметры SOAR, связанные с обработкой данных KUMA: например, расписание обработки данных и рабочий процесс.

Более подробные сведения о настройке SOAR см. в документации продукта.

Импорт и настройка коннектора

Добавление коннектора в SOAR

Интеграция SOAR и KUMA осуществляется с помощью коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика SOAR.

Чтобы импортировать коннектор Kaspersky KUMA в SOAR:

1. В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в SOAR.

2. В верхней части экрана нажмите на кнопку импорта и выберите zip-архив с коннектором Kaspersky KUMA.

Коннектор импортирован в SOAR и готов к настройке.

Настройка в коннекторе подключения к KUMA

Для использования коннектора нужно настроить его подключение к KUMA.

Чтобы настроить в SOAR подключение к KUMA с помощью коннектора Kaspersky KUMA:

1. В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в вашу SOAR.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие параметры коннектора.

3. В разделе Параметры коннектора нажмите на кнопку Редактировать.

   Отобразится конфигурация коннектора.

4. В поле URL укажите адрес и порт KUMA. Например, kuma.example.com:7223.
5. В поле Token укажите API-токен пользователя KUMA.

Подключение к KUMA настроено в коннекторе SOAR.

Настройки коннектора Security Vision IRP

Настройка в коннекторе SOAR команд для взаимодействия с KUMA

С помощью SOAR можно получать сведения об алертах KUMA (или инцидентах в терминологии SOAR), а также отправлять запросы на их закрытие. Для выполнения этих действий в коннекторе SOAR нужно настроить соответствующие команды.

В инструкциях ниже описано, как добавить команды на получение и закрытие алертов, однако при необходимости реализовать более сложную логику взаимодействия SOAR и KUMA вы можете аналогичным образом создать команды с другими API-запросами.

Чтобы настроить команду на получение из KUMA сведений об алертах:

1. В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в SOAR.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие настройки коннектора.

3. Нажмите на кнопку +Команда.

   Откроется окно создания команды.

4. Укажите параметры команды для получения алертов:
   • В поле Наименование введите название команды: Получение инцидентов.
   • В раскрывающемся списке Тип запроса выберите GET.
   • В поле Вызываемый метод введите API-запрос на поиск алертов:

     api/v1/alerts/?withEvents&status=new

   • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
   • В раскрывающемся списке Тип контента выберите application/json.
5. Сохраните команду и закройте окно.

Команда коннектора настроена. При этой команды коннектор SOAR будет запрашивать в KUMA сведения обо всех алертах со статусом Новый и всех относящихся к ним событиях. Полученные данные будут передаваться в обработчик SOAR, который на их основе будет создавать инциденты SOAR. Если алерт уже был импортирован в SOAR, но в нем появились новые данные, сведения о нем будут обновлены в SOAR.

Чтобы настроить команду на закрытие алертов KUMA:

1. В SOAR откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в SOAR.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие настройки коннектора.

3. Нажмите на кнопку +Команда.

   Отобразится окно создания команды.

4. Укажите параметры команды для получения алертов:
   • В поле Наименование введите название команды: Закрытие инцидента.
   • В раскрывающемся списке Тип запроса выберите POST.
   • В поле Вызываемый метод введите API-запрос на закрытие алерта:

     api/v1/alerts/close

   • В поле Запрос введите содержимое отправляемого API-запроса:

     {"id":"<Идентификатор алерта>","reason":"responded"}

     Можно создать несколько команд для разных причин закрытия алертов: responded, incorrect data, incorrect correlation rule.

   • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
   • В раскрывающемся списке Тип контента выберите application/json.
5. Сохраните команду и закройте окно.

Команда коннектора настроена. При выполнении этой команды в SOAR будет закрыт инцидент, а в KUMA будет закрыт соответствующий ему алерт.

Создание команд в SOAR

После настройки коннектора SOAR алерты KUMA будут поступать в платформу в виде инцидентов SOAR. Далее необходимо настроить обработку инцидентов в SOAR в соответствии с существующей в вашей организации политикой безопасности.

Настройка обработчика, расписания и рабочего процесса

Обработчик SOAR

Обработчик SOAR принимает от коннектора SOAR данные об алертах KUMA и создает на их основе инциденты SOAR. Для обработки используется предустановленный обработчик KUMA (Инциденты). Настройки обработчика KUMA (Инциденты) доступны в SOAR в разделе Настройки → Обработка событий → Обработчики событий:

• Правила обработки алертов KUMA можно просмотреть в настройках обработчика на вкладке Нормализация.
• Действия при создании новых объектов можно просмотреть в настройках обработчика на вкладке Действия для создания объектов типа Инцидент (2 линии).

Расписание запуска обработчика

Запуск коннектора и обработчика выполняется по предустановленному расписанию KUMA. Настройка этого расписания доступна в SOAR в разделе Настройки → Обработка событий → Расписание:

• В блоке параметров Настройки коннектора можно настроить параметры запуска коннектора.
• В блоке параметров Настройки обработки можно настроить параметры запуска обработчика.

Рабочий процесс SOAR

Жизненный цикл инцидентов SOAR, созданных на основе алертов KUMA, проходит по преднастроенному процессу Обработка инц. (2 линии). Настройка рабочего процесса доступна в SOAR в разделе Настройки → Рабочие процессы → Шаблоны рабочих процессов: выберите процесс Обработка инц. (2 линии) и нажмите на транзакцию или состояние, которое необходимо изменить.