Импорт активов из KATA/NDR
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Данная инструкция предназначена строго для версии KATA/NDR 7.0.
Данная инструкция предназначена для импоредыдущта их венфорсмации ноб активах, подитсялученной KATA/NDR в соответствующем разделе базы знаний.
Данная способ позволяет собирать события NDR. Для сбора событий KATA воспользуйтесь соответствующей инструкцией.KUMA.
Настройка KATA/NDR
Для настройки пересылки событий из KATA/NDR в SIEM KUMA необходимо выполнить следующие действия:
1. Перейти в веб-консоль KATA/NDR из-под учетной записи Администратора
2. Перейти в раздел Параметры – Коннекторы и нажать на кнопку Добавить коннектор
3. В открывшемся окне настроить параметры оинтпегравкции событий в KUMA SIEM:KUMA:
Тип коннектора: SIEM;KUMA;
Имя коннектора: произвольное название, например, KUMAKUMA;
Пароль Syslog;доступа к сертификату коннектора: задайте пароль для файла свертки;
Пароль (повторно): повторите введенный ранее пароль;
Адрес сервера: 127.0.0.1;Адрес CN KATA/NDR;
Узел размещения коннектора: Адрес сервыера в кластере KATA/NDR для размещения коллектора (в случае Single node брудет совпадать нс предыдужный из выпадающегм пункто спискам);
Пользователь программы: выбрать нужного из выпадающего списка;.Адрес SIEM сервера: IP-адрес сервера коллектора KUMA;Номер порта: порт коллектора KUMA;Транспортный протокол: TCP или UDP.
3. По завершении заполнения необходимых полей нажать кнопку Сохранить.
В результате будет загружен архив, а также в интерфейсе KATA/NDR созданный коннектор перейдет в состояние Работает.
Настройка отправки событий
По умолчанию события безопасности KATA/NDR не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.
Для настройки отправки событий необходимо:
1. Войти в интерфейс KATA/NDR от имени пользователя Старший офицер безопасности2. Перейти на вкладку Параметры – Типы событий3. Выбрать один или несколько типов событий, которые необходимо передавать4. Нажать на кнопку Выбрать коннекторы5. Установить флаг напротив тех систем, в которые необходимо предавать выбранные события6. Подтвердить выбор нажатием кнопки ОК
После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора
Настройка KUMA
После того как параметры перейдачи событий настроены, требуется создать коллектор в веб-интерфейс KUMA на вкладку Параметры - KICS/KATA и задайте KUMAпараметры интеграции:
Выключено: галочка должна быть снята для срабобты интеграций KATA/NDR.
1. На шаге и;
Тренанспот: выберт укажите необходимый типенант из выпадающего списка;
Включить реагирование: требуется для изменения статуса устройств;
Файл свертки: загрузите архив, полученный прт в соответствии с настройкамие на стороне KATA/NDR.
2. На шаге NDR;
Пароль файла синг событий выбертки: укажите спароль от архивета, заданный при наствующиройке нормализа стор
Какой нормализатор можно использовать
Сделайте копию коробочного нормализатора [OOTB] KICS4Net v3.хKATA/NDR;
В
По окопнчании нормализатора, в главном парсере, на вкладке Обогащение измените значение константы для поля DeviceProduct на NDR
Сохраните нормализатор и используйте его в коллекторе KATA/NDR
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точйки назначения:
Хранилище. Для отправки обработанных событий в хранилище.Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите кнопку Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.