Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Руководство администратора

Интеграция с другими решениями

Интеграция с Security Orchestration Automation and Response Platform (SOAR)

Настройка интеграции в SOAR

Импорт и настройка коннектора

Kaspersky Unified Monitoring and Analysis Platform
Нет результатов
База знаний Онлайн-справка
FAQ Обзор решения Форум Запрос в поддержку Видео

Импорт и настройка коннектора

12 июня 2024

ID 232293

Скачать PDF

Добавление коннектора в SOAR

Интеграция SOAR и KUMA осуществляется с помощью коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика SOAR.

Чтобы импортировать коннектор Kaspersky KUMA в SOAR:

  1. В SOAR откройте раздел НастройкиКоннекторыКоннекторы.

    Отобразится список коннекторов, добавленных в SOAR.

  2. В верхней части экрана нажмите на кнопку импорта и выберите zip-архив с коннектором Kaspersky KUMA.

Коннектор импортирован в SOAR и готов к настройке.

Настройка в коннекторе подключения к KUMA

Для использования коннектора нужно настроить его подключение к KUMA.

Чтобы настроить в SOAR подключение к KUMA с помощью коннектора Kaspersky KUMA:

  1. В SOAR откройте раздел НастройкиКоннекторыКоннекторы.

    Отобразится список коннекторов, добавленных в вашу SOAR.

  2. Выберите коннектор Kaspersky KUMA.

    Отобразятся общие параметры коннектора.

  3. В разделе Параметры коннектора нажмите на кнопку Редактировать.

    Отобразится конфигурация коннектора.

  4. В поле URL укажите адрес и порт KUMA. Например, kuma.example.com:7223.
  5. В поле Token укажите API-токен пользователя KUMA.

Подключение к KUMA настроено в коннекторе SOAR.

Настройки коннектора Security Vision IRP

Настройка в коннекторе SOAR команд для взаимодействия с KUMA

С помощью SOAR можно получать сведения об алертах KUMA (или инцидентах в терминологии SOAR), а также отправлять запросы на их закрытие. Для выполнения этих действий в коннекторе SOAR нужно настроить соответствующие команды.

В инструкциях ниже описано, как добавить команды на получение и закрытие алертов, однако при необходимости реализовать более сложную логику взаимодействия SOAR и KUMA вы можете аналогичным образом создать команды с другими API-запросами.

Чтобы настроить команду на получение из KUMA сведений об алертах:

  1. В SOAR откройте раздел НастройкиКоннекторыКоннекторы.

    Отобразится список коннекторов, добавленных в SOAR.

  2. Выберите коннектор Kaspersky KUMA.

    Отобразятся общие настройки коннектора.

  3. Нажмите на кнопку +Команда.

    Откроется окно создания команды.

  4. Укажите параметры команды для получения алертов:
    • В поле Наименование введите название команды: Получение инцидентов.
    • В раскрывающемся списке Тип запроса выберите GET.
    • В поле Вызываемый метод введите API-запрос на поиск алертов:

      api/v1/alerts/?withEvents&status=new

    • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
    • В раскрывающемся списке Тип контента выберите application/json.
  5. Сохраните команду и закройте окно.

Команда коннектора настроена. При этой команды коннектор SOAR будет запрашивать в KUMA сведения обо всех алертах со статусом Новый и всех относящихся к ним событиях. Полученные данные будут передаваться в обработчик SOAR, который на их основе будет создавать инциденты SOAR. Если алерт уже был импортирован в SOAR, но в нем появились новые данные, сведения о нем будут обновлены в SOAR.

Чтобы настроить команду на закрытие алертов KUMA:

  1. В SOAR откройте раздел НастройкиКоннекторыКоннекторы.

    Отобразится список коннекторов, добавленных в SOAR.

  2. Выберите коннектор Kaspersky KUMA.

    Отобразятся общие настройки коннектора.

  3. Нажмите на кнопку +Команда.

    Отобразится окно создания команды.

  4. Укажите параметры команды для получения алертов:
    • В поле Наименование введите название команды: Закрытие инцидента.
    • В раскрывающемся списке Тип запроса выберите POST.
    • В поле Вызываемый метод введите API-запрос на закрытие алерта:

      api/v1/alerts/close

    • В поле Запрос введите содержимое отправляемого API-запроса:

      {"id":"<Идентификатор алерта>","reason":"responded"}

      Можно создать несколько команд для разных причин закрытия алертов: responded, incorrect data, incorrect correlation rule.

    • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
    • В раскрывающемся списке Тип контента выберите application/json.
  5. Сохраните команду и закройте окно.

Команда коннектора настроена. При выполнении этой команды в SOAR будет закрыт инцидент, а в KUMA будет закрыт соответствующий ему алерт.

Создание команд в SOAR

После настройки коннектора SOAR алерты KUMA будут поступать в платформу в виде инцидентов SOAR. Далее необходимо настроить обработку инцидентов в SOAR в соответствии с существующей в вашей организации политикой безопасности.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!