Импорт информации об активах из MaxPatrol

В KUMA можно импортировать сведения об активах из отчетов о результатах сканирования сетевых устройств системы MaxPatrol. Импорт происходит через API с помощью утилиты maxpatrol-tool на сервере, где установлено Ядро KUMA. Импортированные активы отображаются в веб-интерфейсе KUMA в разделе Активы. При необходимости вы можете редактировать параметры активов.

Утилита входит в комплект поставки KUMA и расположена в архиве установщика в директории /kuma-ansible-installer/roles/kuma/files.

Импорт поддерживается из MaxPatrol 8.

Чтобы импортировать данные об активах из отчета MaxPatrol:

  1. Сформируйте в MaxPatrol отчет сканирования сетевых активов в формате XML file и скопируйте файл отчета на сервер Ядра KUMA. Подробнее о задачах на сканирование и форматах выходных файлов см. в документации MaxPatrol.

    Импорт данных из отчетов в формате SIEM integration file не поддерживается. Требуется выбрать формат XML file.

  2. Создайте файл с токеном для доступа к KUMA REST API. Для удобства рекомендуется разместить его в папке отчета MaxPatrol. Файл не должен содержать ничего, кроме токена.

    Требования к учетным записям, для которых генерируется API-токен:

  3. Скопируйте утилиту maxpatrol-tool на сервер с Ядром KUMA и сделайте файл утилиты исполняемым с помощью команды:

    chmod +x <путь до файла maxpatrol-tool на сервере с Ядром KUMA>

  4. Запустите утилиту maxpatrol-tool:

    ./maxpatrol-tool --kuma-rest <адрес и порт сервера KUMA REST API> --token <путь и имя файла с API-токеном> --tenant <название тенанта, куда будут помещены активы> <путь и имя файла с отчетом MaxPatrol> --cert <путь к файлу сертификата Ядра KUMA>

    Пример: ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /opt/kaspersky/kuma/core/certificates/ca.cert

Вы можете использовать дополнительные флаги и команды для импорта. Например, команду для отображения полного отчета о полученных активах --verbose, -v. Подробное описание доступных флагов и команд приведено в таблице Флаги и команды утилиты maxpatrol-tool. Также для просмотра информации о доступных флагах и командах вы можете использовать команду --help.

Информация об активах будет импортирована из отчета MaxPatrol в KUMA. В консоли отображаются сведения о количестве новых и обновленных активов.

Пример:

inserted 2 assets;

updated 1 assets;

errors occured: []

Поведение утилиты при импорте активов:

Флаги и команды утилиты maxpatrol-tool

Флаги и команды

Описание

--kuma-rest <адрес и порт сервера KUMA REST API>, -a <адрес и порт сервера KUMA REST API>

Адрес сервера с Ядром KUMA, куда будет производиться импорт активов, с указанием порта. Например, example.kuma.com:7223.

По умолчанию для обращения по API используется порт 7223. При необходимости его можно изменить.

--token <путь и имя файла с API-токеном>, -t <путь и имя файла с API-токеном>

Путь и имя файла, содержащее токен для доступа к REST API. Файл должен содержать только токен.

Учетной записи, для которой генерируется API-токен, должна быть присвоена роль Администратора или Аналитика.

--tenant <название тенанта>, -T <название тенанта>

Название тенанта KUMA, в который будут импортированы активы из отчета MaxPatrol.

--dns <диапазоны IP-адресов> или -d <диапазоны IP-адресов>

Используется для обогащения IP-адресов FQDN из указанных диапазонов с помощью DNS, если для этих адресов FQDN не был указан.

Пример: --dns 0.0.0.0-9.255.255.255,11.0.0.0-255.255.255,10.0.0.2

--dns-server <IP-адрес DNS-сервера>, -s <IP-адрес DNS-сервера>

Адрес DNS-сервера, к которому должна обращаться утилита для получения информации о FQDN.

Пример: --dns-server 8.8.8.8

--ignore <диапазоны IP-адресов> или -i <диапазоны IP-адресов>

Диапазоны адресов активов, которые при импорте следует пропустить.

Пример: --ignore 8.8.0.0-8.8.255.255, 10.10.0.1

--verbose, -v

Выведение полного отчета о полученных активах и ошибках, возникших в процессе импорта.

--help, -h

help

Получение справочной информации об утилите или команде.

Примеры:

./maxpatrol-tool help

./maxpatrol-tool <команда> --help

version

Получение информации о версии утилиты maxpatrol-tool.

completion

Создание скрипта автозавершения для указанной оболочки.

--cert <путь до файла с сертификатом Ядра KUMA>

Путь к сертификату Ядра KUMA. По умолчанию сертификат располагается в директории с установленной программой: /opt/kaspersky/kuma/core/certificates/ca.cert.

Примеры:

Возможные ошибки

Сообщение об ошибке

Описание

must provide path to xml file to import assets

Не указан путь к файлу отчета MaxPatrol.

incorrect IP address format

Некорректный формат IP-адреса. Может возникнуть при указании некорректных диапазонов IP.

no tenants match specified name

Для указанного названия тенанта не было найдено подходящих тенантов с помощью REST API.

unexpected number of tenants (%v) match specified name. Tenants are: %v

Из KUMA вернулось больше одного тенанта для указанного названия тенанта.

could not parse file due to error: %w

Ошибка чтения xml-файла с отчетом MaxPatrol.

error decoding token: %w

Ошибка чтения файла с API-токеном.

error when importing files to KUMA: %w

Ошибка передачи сведений об активах в KUMA.

skipped asset with no FQDN and IP address

У одного из активов в отчете не было FQDN и IP-адреса. Сведения об этом активе не были отправлены в KUMA.

skipped asset with invalid FQDN: %v

У одного из активов в отчете был некорректный FQDN. Сведения об этом активе не были отправлены в KUMA.

skipped asset with invalid IP address: %v

У одного из активов в отчете был некорректный IP-адрес. Сведения об этом активе не были отправлены в KUMA.

KUMA response: %v

При импорте сведений об активах произошла ошибка с указанным ответом.

unexpected status code %v

При импорте сведений об активах от KUMA был получен неожиданный код HTTP.

В начало