Kaspersky Unified Monitoring and Analysis Platform

Работа с алертами с помощью R-Vision SOAR

После того как интеграция KUMA и R-Vision SOAR настроена, данные об алертах KUMA поступают в R-Vision SOAR. Изменение параметров алертов в KUMA отражается в R-Vision SOAR. Изменение статусов алертов в KUMA или R-Vision SOAR, кроме закрытия, также отражается в другой системе.

Если настроена интеграция KUMA и R-Vision SOAR, вы можете выполнять следующее:

  • Передавать сведения о киберугрозах из KUMA в R-Vision SOAR

    Из KUMA в R-Vision SOAR автоматически передаются сведения об обнаруженных алертах. При этом в R-Vision SOAR создается инцидент.

    В R-Vision SOAR передаются следующие сведения об алерте KUMA:

    • идентификатор;
    • название;
    • статус;
    • дата первого события, относящегося к алерту;
    • дата последнего обнаружения, относящегося к алерту;
    • имя учетной записи или адрес электронной почты специалиста по безопасности, назначенного для обработки алерта;
    • уровень важности алерта;
    • категория инцидента R-Vision SOAR, соответствующего алерту KUMA;
    • иерархический список событий, связанных с алертом;
    • список активов, как внутренних, так и внешних, связанных с алертом;
    • список пользователей, связанных с алертом;
    • журнал изменений алерта;
    • ссылка на алерт в KUMA.
  • Расследовать киберугрозы в KUMA

    Первоначальная обработка алерта производится в KUMA. Специалист по безопасности может уточнять и менять любые параметры алерта, кроме идентификатора и названия. Внесенные изменения отражаются в карточке инцидента R-Vision SOAR.

    Если киберугроза признается ложной и алерт закрывается в KUMA, соответствующий ему инцидент R-Vision SOAR также автоматически закрывается.

  • Закрывать инциденты в R-Vision SOAR

    После необходимых работ по инциденту и фиксации хода расследования в R-Vision SOAR инцидент закрывается. Соответствующий алерт KUMA также автоматически закрывается.

  • Открывать ранее закрытые инциденты

    Если в процессе мониторинга обнаруживается, что инцидент не был решен полностью или обнаруживаются дополнительные сведения, такой инцидент снова открывается в R-Vision SOAR. При этом в KUMA алерт остается закрытым.

    Специалист по безопасности с помощью ссылки может перейти из инцидента R-Vision SOAR в соответствующий алерт в KUMA и изменить его параметры, кроме идентификатора, названия и статуса. Внесенные изменения отражаются в карточке инцидента R-Vision SOAR.

    Дальнейший анализ происходит в R-Vision SOAR. Когда расследование завершено и инцидент в R-Vision SOAR снова закрыт, статус соответствующего алерта в KUMA не меняется: алерт остается закрытым.

  • Запрашивать дополнительные сведения из системы-источника в рамках сценария реагирования или вручную

    Если в процессе анализа в R-Vision SOAR возникает необходимость получить дополнительные сведения из KUMA, в R-Vision SOAR можно сформировать требуемый поисковый запрос (например, запрос телеметрии, репутации, сведений о хосте) к KUMA. Запрос передается с помощью REST API KUMA, ответ фиксируется в карточке инцидента R-Vision SOAR для дальнейшего анализа и вывода в отчет.

    Действия выполняются в такой же последовательности на этапе автоматической обработки, если нет возможности сразу сохранить всю информацию по инциденту при импорте.