Инициализация интеграции

Чтобы настроить интеграцию KUMA с Kaspersky Managed Detection and Response:

  1. Подготовьте файлы на сервере, выполнив следующие действия:
    1. Скопируйте архив kuma_mdr_integration.tar.gz на сервер KUMA (при распределенной установке – на сервер Core).
    2. Распакуйте архив в директорию /opt с помощью команды:

      sudo tar -xf kuma_mdr_integration.tar.gz -C /opt

  2. Настройте конфигурационный файл, выполнив следующие действия:
    1. Перейдите в директорию /opt/mdr/conf и откройте на редактирование файл config.yml.
    2. В секции General settings укажите следующие параметры:
      • актуальный путь к директориям (по умолчанию указан /opt/mdr/*);
      • client_id (идентификатор клиента).
    3. В секции Modules settingskuma укажите следующие параметры:
      • api_url – адрес API-интерфейса KUMA;
      • username – имя ранее добавленного пользователя с доступом к API;
      • password – пароль добавленного пользователя;
      • tenantId – идентификатор тенанта, в который будут импортироваться инциденты.
    4. В секции Modules settingslogging укажите актуальный путь к директории, где хранится скрипт (по умолчанию указан /opt/mdr/log).
  3. Добавьте токен авторизации MDR, выполнив следующие действия:
    1. Перейдите в директорию /opt/mdr/conf, откройте на редактирование файл .refresh_token и вставьте в него ранее сгенерированный токен доступа к API MDR.
    2. Убедитесь, что в конце файла нет символа новой строки \n, так как это может привести к ошибке аутентификации. Для проверки вы можете выполнить следующие команды:

      # Проверка наличия символа новой строки

      wc -l /opt/mdr/conf/.refresh_token

      # Если выводится "1 .refresh_token", удалите символ

      perl -p -i -e 'chomp if eof' /opt/mdr/conf/.refresh_token

      # Повторная проверка

      wc -l /opt/mdr/conf/.refresh_token

      # Ожидаемый результат — "0 .refresh_token"

  4. Укажите время начала сбора инцидентов, выполнив следующие действия:
    1. Перейдите в директорию /opt/mdr/conf и откройте на редактирование файл .last_check.
    2. В открывшемся файле укажите метку времени (в миллисекундах, 13 цифр), начиная с которого необходимо импортировать инциденты.

      Для того чтобы проверить, правильно ли вы выполнили настройку, рекомендуется указать время, предшествующее появлению последнего инцидента (например, 1672520400000).

  5. Обновите сертификат MDR. В директории /opt/mdr/conf/ замените файл mdr.pem на файл с актуальным сертификатом, который вы создали ранее.
  6. Запустите скрипт интеграции main.py с помощью команды python3 ./main.py:
    • Если при первом запуске отображаются сообщения об отсутствии необходимых пакетов, установите их.
    • Если после запуска скрипта не отображаются сообщения об ошибках (кроме предупреждений о недействительном сертификате), интеграция настроена правильно.

    Журнал работы скрипта доступен по пути: /opt/mdr/log/app.log.

  7. Проверьте импорт инцидентов.

    Убедитесь, что в KUMA были импортированы инциденты, созданные в Консоли MDR, начиная с момента времени, которое вы указали в файле .last_check.

  8. Запустите скрипт в фоновом режиме, выполнив следующие действия:
    1. Остановите текущий сеанс запуска скрипта (если запущен).
    2. Повторно запустите скрипт main.py в фоновом режиме с помощью команды:

      nohup python3 /opt/mdr/main.py &

  9. Настройте автозапуск скрипта после перезагрузки сервера, выполнив следующие команды:

    sudo crontab -e

    @reboot sleep 300 && python3 /opt/mdr/main.py &

    Задержка в 5 минут (sleep 300) необходима для запуска службы kuma-core до запуска скрипта интеграции.

Интеграция KUMA c Kaspersky Managed Detection and Response настроена. Теперь инциденты из Консоли MDR будут автоматически импортироваться в KUMA для последующей обработки и анализа.

В начало