Обогащение из плейбуков
После настройки интеграции между Kaspersky SMP и Kaspersky TIP вы можете получить информацию о репутации наблюдаемых объектов, связанных с алертом или инцидентом, из Kaspersky TIP или Kaspersky OpenTIP, а затем дополнить полученные данные.
Вы можете получить информацию только для наблюдаемых объектов следующего типа: домен, URL, IP, MD5, SHA256.
Вы можете настроить автоматическое обогащение данных. Для этого при создании или изменении плейбука в разделе Алгоритм необходимо указать следующее:
- Источник данных.
Вы можете указать одно из следующих решений:
- Kaspersky TIP – Kaspersky Threat Intelligence Portal (General access)
- Kaspersky OpenTIP – Kaspersky Threat Intelligence Portal (Premium access)
- Ограничьте количество данных, возвращаемых Kaspersky TIP или Kaspersky OpenTIP, если это необходимо.
Вы можете указать одно из следующих значений:
- Все записи.
- Топ-100.
Это значение установлено по умолчанию.
- Наблюдаемый объект, для которого плейбук запрашивает данные у Kaspersky TIP или Kaspersky OpenTIP.
В алгоритме плейбука вы можете использовать параметры обогащения вывода, отображаемые в полях, которые возвращает Kaspersky TIP.
Вы можете просмотреть результат обогащения для всех наблюдаемых объектов, связанных с алертом или инцидентом, одним из следующих способов:
- в деталях алерта или инцидента;
- в истории реагирования;
- в плейбуке.
Чтобы просмотреть результат обогащения:
- В главном окне программы перейдите в раздел Мониторинг и отчеты и выполните одно из следующих действий:
- Если вы хотите просмотреть результат из деталей алерта или инцидента, перейдите в раздел Алерты или Инциденты и нажмите на идентификатор алерта или инцидента, для которого было выполнено обогащение. В открывшемся окне выберите вкладку История, а затем на вкладку История реагирования.
- Если вы хотите просмотреть результат в истории действий по реагированию, перейдите в раздел История реагирований.
- Если вы хотите просмотреть результаты обогащения из плейбука, перейдите в раздел Плейбуки и нажмите на название плейбука, для которого было выполнено обогащение. В открывшемся окне выберите вкладку История.
- В столбце Статус действия нажмите на статус плейбука, для которого вы хотите просмотреть результаты обогащения.
Вы также можете получить информацию из Kaspersky TIP и дополнить данные вручную на вкладке Наблюдаемые объекты в деталях алерта или инцидента.