Настройка правила реагирования для интеграции с KWTS

Чтобы настроить правило реагирования:

  1. Создайте правило реагирования:
    1. В веб-интерфейсе KUMA выберите раздел Ресурсы → Правила реагирования и нажмите на кнопку Добавить правило реагирования.
    2. В открывшемся окне Создание правила реагирования в поле Название укажите название правила.
    3. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
    4. В раскрывающемся списке Тип выберите Запуск скрипта.
    5. В поле Название скрипта укажите имя скрипта. kwts.py.
    6. В поле Аргументы скрипта укажите:
      • --host – адрес сервера KWTS.
      • --username – имя учетной записи пользователя, созданной в KWTS, или локального администратора.
      • --password – пароль учетной записи пользователя KWTS.
      • --rule_id – ID правила, созданного в KWTS.
      • Укажите один из ключей в соответствии с типом блокируемого объекта:
        • --url – укажите поле события KUMA, из которого вы хотите получать URL, например {{.RequestUrl}}.
        • --ip – укажите поле события KUMA, из которого вы хотите получать IP-адрес, например {{.DestinationAddress}}.
        • --domain – укажите поле события KUMA, из которого вы хотите получать доменное имя, например {{.DestinationHostName}}.
      • --ntlm – укажите этот ключ, если пользователь KWTS был создан с NTLM-аутентификацией.

        Пример:

        --host <address> --username <user> --password <pass> --rule_id <id> --url {{.RequestUrl}}
    7. В блоке Условия добавьте условия, соответствующие правилам корреляции, по срабатыванию которых необходима блокировка в KWTS.
    8. Нажмите Сохранить.
  2. Добавьте созданное правило реагирования в коррелятор:
    1. В разделе Ресурсы → Корреляторы выберите коррелятор, который будет выполнять реагирование и в папку которого вы поместили скрипт.
    2. В дереве шагов выберите Правила реагирования.
    3. Нажмите на кнопку Добавить.
    4. В раскрывающемся списке Правило реагирования выберите правило, добавленное на шаге 1 этой инструкции.
    5. В дереве шагов выберите Проверка параметров.
    6. Нажмите на кнопку Сохранить и обновить параметры сервисов.
    7. Нажмите на кнопку Сохранить.

Правило реагирования будет привязано к коррелятору и готово к использованию.

В начало