Импорт информации об активах из RedCheck

Эта интеграция является примером и может потребовать дополнительной настройки в зависимости от используемых версий и особенностей инфраструктуры.
Совместимость подтверждена только для KUMA версии 2.0 и выше и RedCheck версии 2.6.8 и выше.
Условия премиальной технической поддержки не распространяются на эту интеграцию, запросы на поддержку рассматриваются без гарантированного времени ответа.

RedCheck – это система контроля защищенности и управления информационной безопасностью организации.

Вы можете импортировать в KUMA сведения об активах из отчетов сканирования сетевых устройств, проведенного с помощью RedCheck.

Импорт доступен из простых отчетов "Уязвимости" и "Инвентаризация" в формате CSV, сгруппированных по хостам.

Импортированные активы отображаются в веб-интерфейсе KUMA в разделе Активы. При необходимости вы можете редактировать параметры активов.

Импорт данных происходит через API с помощью утилиты redcheck-tool.py. Для работы утилиты требуется Python версии 3.6 или выше и следующие библиотеки:

• csv;
• re;
• json;
• requests;
• argparse;
• sys.

Чтобы импортировать данные об активах из отчета RedCheck:

1. Сформируйте в RedCheck отчет о сканировании сетевых активов в формате CSV и скопируйте файл отчета на сервер со скриптом.

   Подробнее о задачах на сканирование и форматах выходных файлов см. в документации RedCheck.

2. Создайте файл с токеном для доступа к KUMA REST API.

   Учетная запись, для которой создается токен, должна отвечать следующим требованиям:

   • Роль Администратора тенанта или Аналитика второго уровня.
   • Доступ к тенанту, в который будут импортированы активы.
   • Права на использование API-запросов GET /assets, GET /tenants, POST/assets/import.
3. Скачайте скрипт по следующей ссылке:

   https://box.kaspersky.com/d/2dfd1d677c7547a7ac1e/

4. Скопируйте утилиту redcheck-tool.py на сервер с Ядром KUMA и сделайте файл утилиты исполняемым при помощи команды:

   chmod +x <путь до файла redcheck-tool.py>

5. Запустите утилиту redcheck-tool.py с помощью следующей команды:

   python3 redcheck-tool.py --kuma-rest <адрес и порт сервера KUMA REST API> --token <API-токен> --tenant <название тенанта, куда будут помещены активы> --vuln-report <полный путь к файлу отчета "Уязвимости"> --inventory-report <полный путь к файлу отчета "Инвентаризация">

   Пример: python3 --kuma-rest example.kuma.com:7223 --token 949fc03d97bad5d04b6e231c68be54fb --tenant Main --vuln-report /home/user/vuln.csv --inventory-report /home/user/inventory.csv

   Вы можете использовать дополнительные флаги и команды для импорта. Например, команду для отображения расширенного отчета о полученных активах -v. Подробное описание доступных флагов и команд приведено в таблице "Флаги и команды утилиты redcheck-tool.py". Также для просмотра информации о доступных флагах и командах вы можете использовать команду --help.

Информация об активах будет импортирована из отчета RedCheck в KUMA. В консоли будут отображаться сведения о количестве новых и обновленных активов.

Пример: inventory has been imported for 2 host(s) software has been imported for 5 host(s) vulnerabilities has been imported for 4 host(s)

Пример расширенной информации об импорте: [inventory import] Host: localhost Code: 200 Response: {'insertedIDs': {'0': '52ca11c6-a0e6-4dfd-8ef9-bf58189340f8'}, 'updatedCount': 0, 'errors': []} [inventory import] Host: 10.0.0.2 Code: 200 Response: {'insertedIDs': {'0': '1583e552-5137-4164-92e0-01e60fb6edb0'}, 'updatedCount': 0, 'errors': []} [software import][error] Host: localhost Skipped asset with FQDN localhost or IP 127.0.0.1 [software import] Host: 10.0.0.2 Code: 200 Response: {'insertedIDs': {}, 'updatedCount': 1, 'errors': []} [vulnerabilities import] Host: 10.0.0.2 Code: 200 Response: {'insertedIDs': {}, 'updatedCount': 1, 'errors': []} [vulnerabilities import] Host: 10.0.0.1 Code: 200 Response: {'insertedIDs': {'0': '0628f683-c20c-4107-abf3-d837b3dbbf01'}, 'updatedCount': 0, 'errors': []} [vulnerabilities import] Host: localhost Code: 200 Response: {'insertedIDs': {}, 'updatedCount': 1, 'errors': []} [vulnerabilities import] Host: 10.0.0.3 Code: 200 Response: {'insertedIDs': {'0': 'ed01e0a8-dcb0-4609-ab2b-91e50092555d'}, 'updatedCount': 0, 'errors': []} inventory has been imported for 2 host(s) software has been imported for 1 host(s) vulnerabilities has been imported for 4 host(s)

Поведение утилиты при импорте активов:

• KUMA перезаписывает данные импортированных через API активов и удаляет сведения об их устраненных уязвимостях.
• KUMA пропускает активы с недействительными данными.

  Флаги и команды утилиты redcheck-tool.py

  Флаги и команды	Обязательный	Описание
  --kuma-rest <адрес и порт сервера KUMA>	Да	По умолчанию для обращения по API используется порт 7223. При необходимости его можно изменить.
  --token <токен>	Да	Значение в параметре должно содержать только токен. Учетной записи, для которой генерируется API-токен, должна быть присвоена роль Администратора тенанта или Аналитика второго уровня.
  --tenant <название тенанта>	Да	Название тенанта KUMA, в который будут импортированы активы из отчета RedCheck.
  --vuln-report <полный путь к файлу отчета "Уязвимости">	Да	Файл отчета "Уязвимости" в формате CSV.
  --inventory-report <полный путь к файлу отчета "Инвентаризация">	Нет	Файл отчета "Инвентаризация" в формате CSV.
  -v	Нет	Отображение расширенной информации об импорте активов.

  Возможные ошибки

  Сообщение об ошибке	Описание
  Tenant %w not found	Имя тенанта не найдено.
  Tenant search error: Unexpected status Code: %d	При поиске тенанта был получен неожиданный код ответа HTTP.
  Asset search error: Unexpected status Code: %d	При поиске актива был получен неожиданный код ответа HTTP.
  [%w import][error] Host: %w Skipped asset with FQDNlocalhost or IP 127.0.0.1	При импорте информации инвентаризации/уязвимостей был пропущен хост сfqdn=localhost или ip=127.0.0.1.

В начало