Интеграция с Kaspersky Threat Intelligence Portal
Вам нужно настроить интеграцию с Kaspersky Threat Intelligence Portal (далее также Kaspersky TIP), чтобы получать информацию о репутации наблюдаемых объектов.
Перед настройкой параметров вам необходимо создать токен авторизации для API-запросов на Kaspersky TIP или Kaspersky OpenTIP.
Чтобы настроить интеграцию Kaspersky SMP и Kaspersky TIP:
- В главном окне программы перейдите в раздел Параметры → Тенанты.
Список тенантов отображается на экране.
- Нажмите на имя нужного тенанта.
Откроется окно свойств тенанта.
- Выберите вкладку Параметры и перейдите в раздел Kaspersky TIP.
Вы можете изменить значения в разделе Kaspersky TIP, если вам назначена одна из следующих ролей XDR: Главный администратор, Администратор тенанта или Администратор SOC.
- Если на шаге 2 вы выбрали корневой тенант, вы можете включить переключатель Прокси-сервер, чтобы использовать прокси-сервер для взаимодействия с Kaspersky TIP.
Прокси-сервер настраивается в свойствах корневого Сервера администрирования.
- В поле TTL кеш укажите срок хранения кеша и единицы измерения: дни или часы.
По умолчанию установлено 7 дней. Если вы не укажете никакого значения, срок хранения кеша неограничен.
Вы устанавливаете период хранения кеша для всех подключений.
- Включите переключатель Интеграция для одного из следующих сервисов:
- Kaspersky TIP (General access)
После добавления токена авторизации вы сможете получить информацию от Kaspersky TIP о следующих типах объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обогащение. При запросе данных расходуется квота данных.
- Kaspersky TIP (Premium access)
После добавления токена авторизации вы сможете выполнять следующие действия:
- Получать подробную информацию от Kaspersky TIP о следующих типах наблюдаемых объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обогащение. При запросе данных расходуется квота данных.
- Получать подробную информацию от Kaspersky TIP о следующих типах наблюдаемых объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обновление статуса. При запросе данных квота не расходуется.
- Kaspersky TIP (General access)
- Нажмите на кнопку Добавить токен.
- В открывшемся окне введите нужные данные токена авторизации и нажмите на кнопку Добавить.
Подробнее о формировании токена авторизации для запросов к API см. в справке Kaspersky TIP или Kaspersky OpenTIP.
После добавления токена вы можете заменить его, нажав на кнопку Заменить и введя новый токен в открывшемся окне. Это может быть необходимо, если срок действия токена истек.
- Нажмите на кнопку Сохранить.