Импорт данных об активах из отчета поддерживается для MaxPatrol 8.
Чтобы импортировать данные об активах из отчета MaxPatrol:
Импорт данных из отчетов в формате SIEM integration file не поддерживается. Требуется выбрать формат XML file.
Требования к учетным записям, для которых генерируется API-токен:
Мы рекомендуем для импорта активов из MaxPatrol создать отдельного пользователя с минимально необходимым набором прав на использование API-запросов.
chmod +x <путь до файла maxpatrol-tool на сервере с Ядром KUMA>
./maxpatrol-tool --kuma-rest <адрес и порт сервера KUMA REST API> --token <путь и имя файла с API-токеном> --tenant <название тенанта, куда будут помещены активы> <путь и имя файла с отчетом MaxPatrol> --cert <путь к файлу сертификата Ядра KUMA>
Сертификат Ядра можно скачать в веб-интерфейсе KUMA.
Пример: ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /tmp/ca.cert
Вы можете использовать дополнительные флаги и команды для импорта. Например, команду для отображения полного отчета о полученных активах --verbose, -v
. Подробное описание доступных флагов и команд приведено в таблице Флаги и команды утилиты maxpatrol-tool. Также для просмотра информации о доступных флагах и командах вы можете использовать команду --help
.
Информация об активах будет импортирована из отчета MaxPatrol в KUMA. В консоли отображаются сведения о количестве новых и обновленных активов.
Пример: inserted 2 assets; updated 1 assets; errors occured: [] |
Поведение утилиты при импорте активов:
--verbose
.При загрузке активов из MaxPatrol активы с аналогичными IP-адресами и полными именами доменов (FQDN), ранее импортированные из Kaspersky Security Center, перезаписываются.
Чтобы этого избежать, вам требуется настроить фильтрацию активов по диапазону с помощью команды:
--ignore <диапазоны IP-адресов> или -i <диапазоны IP-адресов>
Активы, соответствующие условиям фильтрации, не загружаются. Описание команды вы можете просмотреть в таблице Флаги и команды утилиты maxpatrol-tool.
Флаги и команды утилиты maxpatrol-tool
Флаги и команды |
Описание |
---|---|
|
Адрес сервера с Ядром KUMA, куда будет производиться импорт активов, с указанием порта. Например, По умолчанию для обращения по API используется порт 7223. При необходимости его можно изменить. |
|
Путь и имя файла, содержащее токен для доступа к REST API. Файл должен содержать только токен. Учетной записи, для которой генерируется API-токен, должна быть присвоена роль Главного администратора, Администратора тенанта, Администратора второго уровня или Администратора первого уровня. |
|
Название тенанта KUMA, в который будут импортированы активы из отчета MaxPatrol. |
|
Используется для обогащения IP-адресов FQDN из указанных диапазонов с помощью DNS, если для этих адресов FQDN не был указан. Пример: |
|
Адрес DNS-сервера, к которому должна обращаться утилита для получения информации о FQDN. Пример: |
|
Диапазоны адресов активов, которые при импорте следует пропустить. Пример: |
|
Выведение полного отчета о полученных активах и ошибках, возникших в процессе импорта. |
|
Получение справочной информации об утилите или команде. Примеры:
|
|
Получение информации о версии утилиты maxpatrol-tool. |
|
Создание скрипта автозавершения для указанной оболочки. |
|
Путь к сертификату Ядра KUMA. По умолчанию сертификат располагается в директории с установленной программой: /opt/kaspersky/kuma/core/certificates/ca.cert. |
Примеры:
./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /example-directory/ca.cert
– импорт активов в KUMA из отчета MaxPatrol example.xml../maxpatrol-tool help
– получение справки об утилите.Возможные ошибки
Сообщение об ошибке |
Описание |
---|---|
must provide path to xml file to import assets |
Не указан путь к файлу отчета MaxPatrol. |
incorrect IP address format |
Некорректный формат IP-адреса. Может возникнуть при указании некорректных диапазонов IP. |
no tenants match specified name |
Для указанного названия тенанта не было найдено подходящих тенантов с помощью REST API. |
unexpected number of tenants (%v) match specified name. Tenants are: %v |
Из KUMA вернулось больше одного тенанта для указанного названия тенанта. |
could not parse file due to error: %w |
Ошибка чтения xml-файла с отчетом MaxPatrol. |
error decoding token: %w |
Ошибка чтения файла с API-токеном. |
error when importing files to KUMA: %w |
Ошибка передачи сведений об активах в KUMA. |
skipped asset with no FQDN and IP address |
У одного из активов в отчете не было FQDN и IP-адреса. Сведения об этом активе не были отправлены в KUMA. |
skipped asset with invalid FQDN: %v |
У одного из активов в отчете был некорректный FQDN. Сведения об этом активе не были отправлены в KUMA. |
skipped asset with invalid IP address: %v |
У одного из активов в отчете был некорректный IP-адрес. Сведения об этом активе не были отправлены в KUMA. |
KUMA response: %v |
При импорте сведений об активах произошла ошибка с указанным ответом. |
unexpected status code %v |
При импорте сведений об активах от KUMA был получен неожиданный код HTTP. |