Настройка отображения ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации о событии KUMA
При получении обнаружений Kaspersky Endpoint Detection and Response в KUMA создается алерт для каждого обнаружения. Вы можете настроить отображение ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации об алерте KUMA.
Вы можете настроить отображение ссылки на обнаружение, если используете только один сервер Central Node Kaspersky Endpoint Detection and Response. Если Kaspersky Endpoint Detection and Response используется в режиме распределенного решения, настроить отображение ссылок в KUMA на обнаружения Kaspersky Endpoint Detection and Response невозможно.
Для настройки отображения ссылки на обнаружение в информации об алерте KUMA вам требуется выполнить действия в веб-интерфейсе Kaspersky Endpoint Detection and Response и KUMA.
В веб-интерфейсе Kaspersky Endpoint Detection and Response вам нужно настроить интеграцию программы с KUMA в качестве SIEM-системы. Подробнее о том, как настроить интеграцию, см. в справке Kaspersky Anti Targeted Attack Platform в разделе Настройка интеграции с SIEM-системой.
Настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:
- Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории.
- Создание правила корреляции.
- Создание коррелятора.
Вы можете использовать преднастроенное корреляционное правило. В этом случае настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:
- Создание коррелятора.
В качестве правила корреляции вам нужно выбрать правило [OOTB] KATA Alert
.
- Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории
КАТА standAlone
.
Шаг 1. Добавление актива и назначение ему категории
Предварительно вам нужно создать категорию, которая будет назначена добавляемому активу.
Чтобы добавить категорию:
- В веб-интерфейсе KUMA выберите раздел Активы.
- На вкладке Все активы разверните список категорий тенанта, нажав на кнопку рядом с его названием.
- Выберите требуемую категорию или подкатегорию и нажмите на кнопку Добавить категорию.
В правой части окна веб-интерфейса отобразится область деталей Добавить категорию.
- Укажите параметры категории:
- В поле Название введите название категории.
- В поле Родительская категория укажите место категории в дереве категорий. Для этого нажмите на кнопку и выберите родительскую категорию для создаваемой вами категории.
Выбранная категория отобразится в поле Родительская категория.
- При необходимости укажите значения для следующих параметров:
- Нажмите на кнопку Сохранить.
Чтобы добавить актив:
- В веб-интерфейсе KUMA выберите раздел Активы.
- Нажмите на кнопку Добавить актив.
В правой части окна откроется область деталей Добавить актив.
- Укажите следующие параметры актива:
- В поле Название актива введите имя актива.
- В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать актив.
- В поле IP-адрес укажите IP-адрес сервера Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения.
- В поле Категории выберите категорию, которую добавили на предыдущем этапе.
Если вы используете предустановленное корреляционное правило, вам нужно выбрать категорию КАТА standAlone
.
- При необходимости укажите значения для следующих полей:
- В поле Полное доменное имя укажите FQDN сервера Central Node Kaspersky Endpoint Detection and Response.
- В поле MAC-адрес укажите MAC-адрес сервера Central Node Kaspersky Endpoint Detection and Response.
- В поле Владелец укажите имя владельца актива.
- Нажмите на кнопку Сохранить.
Шаг 2. Добавление правила корреляции
Чтобы добавить правило корреляции:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- Выберите Правила корреляции и нажмите на кнопку Создать правило корреляции.
- На вкладке Общие укажите следующие параметры:
- В поле Название укажите название правила.
- В раскрывающемся списке Тип выберите simple.
- В поле Наследуемые поля добавьте следующие поля: DeviceProduct, DeviceAddress, EventOutcome, SourceAssetID, DeviceAssetID.
- При необходимости укажите значения для следующих полей:
- В поле Частота срабатывания укажите максимальное количество срабатываний правила в секунду.
- В поле Уровень важности укажите уровень важности алертов и корреляционных событий, которые будут созданы в результате срабатывания правила.
- В поле Описание укажите любую дополнительную информацию.
- На вкладке Селекторы → Параметры укажите следующие параметры:
- В раскрывающемся списке Фильтр выберите Создать.
- В поле Условия нажмите на кнопку Добавить группу.
- В поле с оператором для добавленной группы выберите И.
- Добавьте условие для фильтрации по значению KATA:
- В поле Условия нажмите на кнопку Добавить условие.
- В поле с условием выберите Если.
- В поле Левый операнд выберите поле события.
- В поле поле события выберите DeviceProduct.
- В поле оператор выберите =.
- В поле Правый операнд выберите константа.
- В поле значение введите KATA.
- Добавьте условие для фильтрации по категории:
- В поле Условия нажмите на кнопку Добавить условие.
- В поле с условием выберите Если.
- В поле Левый операнд выберите поле события.
- В поле поле события выберите DeviceAssetID.
- В поле оператор выберите inCategory.
- В поле Правый операнд выберите константа.
- Нажмите на кнопку .
- Выберите категорию, в которую вы поместили актив сервера Central Node Kaspersky Endpoint Detection and Response.
- Нажмите на кнопку Сохранить.
- В поле Условия нажмите на кнопку Добавить группу.
- В поле с оператором для добавленной группы выберите ИЛИ.
- Добавьте условие для фильтрации по идентификатору класса события:
- В поле Условия нажмите на кнопку Добавить условие.
- В поле с условием выберите Если.
- В поле Левый операнд выберите поле события.
- В поле поле события выберите DeviceEventClassID.
- В поле оператор выберите =.
- В поле Правый операнд выберите константа.
- В поле значение введите taaScanning.
- Повторите шаги 1–7 пункта f для каждого из следующих идентификаторов классов событий:
- file_web.
- file_mail.
- file_endpoint.
- file_external.
- ids.
- url_web.
- url_mail.
- dns.
- iocScanningEP.
- yaraScanningEP.
- На вкладке Действия укажите следующие параметры:
- В разделе Действия откройте раскрывающийся список На каждом событии.
- Установите флажок Отправить на дальнейшую обработку.
- В разделе Обогащение нажмите на кнопку Добавить обогащение.
- В раскрывающемся списке Тип источника данных выберите шаблон.
- В поле Шаблон введите https://{{.DeviceAddress}}:8443/katap/#/alerts?id={{.EventOutcome}}.
- В раскрывающемся списке Целевое поле выберите DeviceExternalID.
- При необходимости переведите переключатель Отладка в активное положение, чтобы зарегистристрировать информацию, связанную с работой ресурса, в журнал.
- Нажмите на кнопку Сохранить.
Шаг 3. Создание коррелятора
Вам нужно запустить мастер установки коррелятора. На шаге 3 мастера вам требуется выбрать правило корреляции, добавленное при выполнении этой инструкции.
После завершения создания коррелятора в информации об алертах, созданных при получении обнаружений из Kaspersky Endpoint Detection and Response, будет отображаться ссылка на эти обнаружения. Ссылка отображается в информации о корреляционном событии (раздел Связанные события), в поле DeviceExternalID.
Если вы хотите, чтобы в поле DeviceHostName в информации об обнаружении отображался FQDN сервера Central Node Kaspersky Endpoint Detection and Response, вам нужно создать запись для этого сервера в системе DNS и на шаге 4 мастера создать правило обогащения с помощью DNS.
В начало