Импорт активов из KATA/NDR
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Данная инструкция предназначена строго для версии KATA/NDR 7.0. Инструкция для предыдущих версии находится в соответствующем разделе базы знаний.
Данная способинструкция позволяетпредназначена собиратьдля событияимпорта информации об активах, полученной KATA/NDR. Дляв сбора событий KATA воспользуйтесь соответствующей инструкцией.KUMA.
Настройка KATA/NDR
Для настройки пересылки событий из KATA/NDR в SIEM KUMA необходимо выполнить следующие действия:
1. Перейти в веб-консоль KATA/NDR из-под учетной записи Администратора
2. Перейти в раздел Параметры – Коннекторы и нажать на кнопку Добавить коннектор
3. В открывшемся окне настроить параметры отправкиинтеграции событийс в KUMA SIEM:KUMA:
Тип коннектора: SIEM;KUMA;
Имя коннектора: произвольное название, например, KUMAKUMA;
Пароль Syslog;доступа к сертификату коннектора: задайте пароль для файла свертки;
Пароль (повторно): повторите введенный ранее пароль;
Адрес сервера: 127.0.0.1;Адрес CN KATA/NDR;
Узел размещения коннектора: выбратьАдрес нужныйсервера изв выпадающегокластере списка;KATA/NDR для размещения коллектора (в случае Single node будет совпадать с предыдущем пунктом);
Пользователь программы: выбрать нужного из выпадающего списка;списка.Адрес SIEM сервера: IP-адрес сервера коллектора KUMA;Номер порта: порт коллектора KUMA;Транспортный протокол: TCP или UDP.
3. По завершении заполнения необходимых полей нажать кнопку Сохранить.
В результате будет загружен архив, а также в интерфейсе KATA/NDR созданный коннектор перейдет в состояние Работает.
Настройка отправки событий
По умолчанию события безопасности KATA/NDR не передаются ни в какие смежные системы, о чем свидетельствует колонка Тип события - Не отправляются. Поэтому, чтобы события безопасности передавать в другие системы необходимо определить перечень таких событий для каждой системы, для который мы настроили коннектор.
Для настройки отправки событий необходимо:
1. Войти в интерфейс KATA/NDR от имени пользователя Старший офицер безопасности2. Перейти на вкладку Параметры – Типы событий3. Выбрать один или несколько типов событий, которые необходимо передавать4. Нажать на кнопку Выбрать коннекторы5. Установить флаг напротив тех систем, в которые необходимо предавать выбранные события6. Подтвердить выбор нажатием кнопки ОК
После завершения настроек добавленные события будут отмечены флагом в колонке соответствующего коннектора
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллекторПерейдите в веб-интерфейсеинтерфейс KUMA дляна событийвкладку KATA/NDR.Параметры - KICS/KATA и задайте параметры интеграции:
1.Выключено: Нагалочка шагедолжна быть снята для работы интеграции;ТранспортТенант: выберите необходимый тенант из выпадающего списка;
Включить реагирование: требуется для изменения статуса устройств;
Файл свертки: укажитезагрузите типархив, иполученный портпри в соответствии с настройкаминастройке на стороне KATA/NDR.NDR;
Пароль файла свертки: укажите пароль от архива, заданный при настройке на стороне KATA/NDR;
2. На шаге Парсинг событий выберите соответствующий нормализатор
Какой нормализатор можно использовать
Сделайте копию коробочного нормализатора [OOTB] KICS4Net v3.х
ВПо копииокончании нормализатора,настройки внажмите главном парсере, на вкладке Обогащение измените значение константы для поля DeviceProduct на NDR
Сохраните нормализатор и используйте его в коллекторе KATA/NDR
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
Хранилище. Для отправки обработанных событий в хранилище.Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмитекнопку Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.