Интеграция с Security Orchestration Automation and Response Platform (SOAR)
Security Orchestration Automation and Response Platform (далее SOAR) – это программная платформа для автоматизации мониторинга, обработки и реагирования на инциденты информационной безопасности. Она объединяет данные о киберугрозах из различных источников в единую базу данных для дальнейшего анализа и расследования, что позволяет облегчить реагирование на инциденты.
SOAR можно интегрировать с KUMA. После настройки интеграции в SOAR можно выполнять следующие задачи:
- Запрашивать из KUMA сведения об алертах. При этом в SOAR по полученным данным создаются инциденты.
- Отправлять в KUMA запросы на закрытие алертов.
Интеграция реализована с помощью KUMA REST API. На стороне Security Vision IRP интеграция осуществляется с помощью преднастроенного коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика SOAR.
Работа с инцидентами SOAR
Инциденты SOAR, созданные на основе данных об алертах KUMA, можно просмотреть в SOAR в разделе Инциденты → Инциденты (2 линии) → Все инциденты (2 линии). В каждый инцидент SOAR записываются события, относящиеся к алертам KUMA. Импортированные события можно просмотреть на вкладке Реагирование.
Алерт KUMA, импортированный в SOAR в качестве инцидента
