Настройка интеграции в KUMA

В этом разделе описывается интеграция KUMA с R-Vision SOAR на стороне KUMA.

Интеграция в KUMA настраивается в разделе веб-интерфейса KUMA Параметры → Интеграции → IRP / SOAR.

Чтобы настроить интеграцию с R-Vision SOAR:

1. Откройте раздел веб-интерфейса KUMA Ресурсы и в блоке Конфигурация ресурсов выберите Секреты.

   Отобразится список доступных секретов.

2. Нажмите на кнопку Добавить, чтобы создать новый секрет. Этот ресурс будет использоваться для хранения токена для API-запросов в R-Vision SOAR.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название укажите имя для добавляемого секрета. Длина названия должна быть от 1 до 128 символов в кодировке Unicode.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
   3. В раскрывающемся списке Тип выберите token.
   4. В поле Токен введите свой API-токен для R-Vision SOAR.

      Токен можно узнать в веб-интерфейсе R-Vision SOAR в разделе Настройки → Общие → API.

   5. При необходимости в раскрывающемся списке Теги выберите теги для секрета.
   6. При необходимости в поле Описание добавьте описание секрета до 4000 символов в кодировке Unicode.
4. Нажмите Создать.

   API-токен для R-Vision SOAR сохранен и теперь может использоваться в других ресурсах KUMA.

5. Откройте раздел веб-интерфейса KUMA Параметры → Интеграции → IRP / SOAR.

   Откроется окно с параметрами интеграции R-Vision SOAR.

6. С помощью переключателя Состояние включите интеграцию R-Vision SOAR с KUMA. По умолчанию интеграция выключена.
7. В раскрывающемся списке Секрет выберите секрет, созданный ранее.

   Можно создать новый секрет, выбрав Создать. Созданный секрет будет сохранен в разделе Ресурсы → Конфигурация ресурсов → Секреты.

8. В поле URL укажите URL хоста сервера R-Vision SOAR.
9. В поле Название поля для размещения идентификаторов алертов KUMA укажите название поля R-Vision SOAR, в которое будет записываться идентификатор алерта KUMA.
10. В поле Название поля для размещения URL алертов KUMA укажите название поля R-Vision SOAR, в которое будет помещаться ссылка на алерт KUMA.
11. В поле Категория укажите категорию алерта R-Vision SOAR, который создается при получении данных об алерте от KUMA.
12. В раскрывающемся списке Поля событий​ KUMA для отправки в IRP / SOAR выберите поля событий KUMA, которые следует отправлять в R-Vision SOAR.
13. В блоке Уровень важности укажите значения уровней для сопоставления значений уровня важности KUMA со значениями уровня важности R-Vision SOAR.
14. Нажмите Сохранить.

В KUMA теперь настроена интеграция с R-Vision SOAR. Если интеграция также настроена в R-Vision SOAR, при появлении алертов в KUMA информация о них будет отправляться в R-Vision SOAR для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision SOAR.

Если вы работаете с несколькими тенантами и хотите интегрироваться с R-Vision SOAR, названия тенантов должны соответствовать коротким названиям компаний в R-Vision SOAR.

В начало