Действия по реагированию с помощью UserGate

UserGate включает в себя функции унифицированных решений по управлению угрозами и предоставляет следующие средства защиты вашей локальной сети:

Сетевой экран.
Защита от вторжений и атак.
Антивирусная проверка трафика.
Контроль программ.

Поддерживается версия UserGate UTM API 7.

Вы можете реагировать на алерты и инциденты с помощью UserGate, если вы ранее настроили интеграцию Kaspersky SMP со службами запуска скриптов. Далее вам нужно создать плейбук, который запустит скрипт для реагирования. Вы можете скачать скрипты, перейдя по этой ссылке.

Загрузить скрипты

Логин и пароль для доступа к UserGate хранятся в скрипте ug.py. В этом скрипте вы можете изменить конечную точку, учетную запись и пароль.

Для запуска скриптов требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью UserGate, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Вы можете создавать плейбуки, которые будут выполнять следующие действия по реагированию с помощью UserGate:

Блокировка IP-адресов, URL и доменных имен.
UserGate заблокирует IP-адреса, URL и доменные имена в результате запуска плейбука.
Выход пользователей.
Все пользователи, вошедшие в UserGate, будут отключены в результате запуска плейбука.

Чтобы запустить скрипт для реагирования с помощью UserGate:

В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделе Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью UserGate.
Нажмите на кнопку Запустить.
Выбранный плейбук запустит скрипт для реагирования с помощью UserGate.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

В начало