Skip to main content

Блокировка адресов при помощи Cisco ASA Firewall на основе сработок алертов

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

В нашем случае мы при помощи правила корреляции, на основе логов веб-сервера Apache, блокируем входящий трафик от внешних адресов.

Для настройки реагирования средствами Cisco ASA (блокировки IP адресов) (пример, при подключении по SSH) необходимо:

  1. Авторизоваться на ASA с привилегиями, позволяющими переходить в режим конфигурирования, отправить команду
    conf t
  2. Создать объект, в который наш скрипт будет добавлять адреса (черный список), назовём его BLACKLIST. Создаём командой 
    object network BLACKLIST

-----в разработке---


Настройка на стороне KUMA

  1. В группирующем поле правила корреляции должны находиться целевые поля, которые используются в правилах реагирования, в нашем примере это sourceAddressimage.png
  2. В "селекторы" и "действия" задаём необходимые в данном кейсе параметры.
    Обязательно добавить обогащение событие EventOutcome (как указано на скриншоте), это ключ (триггер) для следующего этапа по запуску правила реагирования.

    image.png

  3. Размещаем скрипт (находится в папке пресейл-пака) предварительно заменив ключевые данные в скрипте, а именно:ip asa, login, password с правами, необходимыми для добавления в объект BLACK (см. выше, этап настройки ASA)
  4. Скрипт помещаем на сервере(-ах) по пути 
    /opt/kaspersky/kuma/correlator/<id>/scripts/ и предоставляем права пользователю kuma, чтобы служба имела достаточные права для запуска скрипта, командами:
    chown kuma:kuma /opt/kaspersky/kuma/correlator/<id>/scripts/asa.py
    chmod +x /opt/kaspersky/kuma/correlator/<id>/scripts/asa.py
  5. Создаём правило реагирования, которое будет непосредственно запускать скрипт на коллекторе (шаг 4)

    image.png

    ключевое, задаём Название скрипта, который мы перенесли на сервер коррелятора (шаг 4), также аргументы скрипта, как на скриншоте и ключевое поле EventOutcome = BLOCK (добавляется при срабатывании алерта, при помощи обогащения) (указано как пример, можно задать списком и другими полями).
  6. Осталось привязать новое правило корреляции. Привязываем к коррелятору. 
    Ресурсы -> Корреляторы -> Выбираем наш -> Корреляция, привязать (на скриншоте)

    image.png


  7. Также необходимо здесь же добавить правило реагирования

    image.png

  8. Готово, сохраняем и рестартуем коррелятор (ы)