Интеграция с Kaspersky Threat Intelligence Portal

Вам нужно настроить интеграцию с Kaspersky Threat Intelligence Portal (далее также Kaspersky TIP), чтобы получать информацию о репутации наблюдаемых объектов.

Перед настройкой параметров вам необходимо создать токен авторизации для API-запросов на Kaspersky TIP или Kaspersky OpenTIP.

Чтобы настроить интеграцию Kaspersky SMP и Kaspersky TIP:

1. В главном окне программы перейдите в раздел Параметры → Тенанты.

   Список тенантов отображается на экране.

2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. Выберите вкладку Параметры и перейдите в раздел Kaspersky TIP.

   Вы можете изменить значения в разделе Kaspersky TIP, если вам назначена одна из следующих ролей XDR: Главный администратор, Администратор тенанта или Администратор SOC.

4. Если на шаге 2 вы выбрали корневой тенант, вы можете включить переключатель Прокси-сервер, чтобы использовать прокси-сервер для взаимодействия с Kaspersky TIP.

   Прокси-сервер настраивается в свойствах корневого Сервера администрирования.

5. В поле TTL кеш укажите срок хранения кеша и единицы измерения: дни или часы.

   По умолчанию установлено 7 дней. Если вы не укажете никакого значения, срок хранения кеша неограничен.

   Вы устанавливаете период хранения кеша для всех подключений.

6. Включите переключатель Интеграция для одного из следующих сервисов:
   • Kaspersky TIP (General access)

     После добавления токена авторизации вы сможете получить информацию от Kaspersky TIP о следующих типах объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обогащение. При запросе данных расходуется квота данных.

   • Kaspersky TIP (Premium access)

     После добавления токена авторизации вы сможете выполнять следующие действия:

     • Получать подробную информацию от Kaspersky TIP о следующих типах наблюдаемых объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обогащение. При запросе данных расходуется квота данных.
     • Получать подробную информацию от Kaspersky TIP о следующих типах наблюдаемых объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обновление статуса. При запросе данных квота не расходуется.
7. Нажмите на кнопку Добавить токен.
8. В открывшемся окне введите нужные данные токена авторизации и нажмите на кнопку Добавить.

   Подробнее о формировании токена авторизации для запросов к API см. в справке Kaspersky TIP или Kaspersky OpenTIP.

   После добавления токена вы можете заменить его, нажав на кнопку Заменить и введя новый токен в открывшемся окне. Это может быть необходимо, если срок действия токена истек.

9. Нажмите на кнопку Сохранить.