Импорт данных об активах из MaxPatrol VM

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Данная статья является дополнением к основной статье официальной документации https://support.kaspersky.com/help/KUMA/3.2/ru-RU/265427.htm

Протестирована работоспособность c MaxPatrol VM 2.1

Подготовительные действия в MP VM

Созданной учетной записи в MaxPatrol VM присвойте роль "Оператор".

Создание конфигурационного файла

В конфигурационном файле kuma-ptvm-config.yaml:

в секции MaxPatrol для параметра endpoint укажите MP API endpoint URL без указания cхемы (https://) и порта (по умолчанию, MP VM использует порт 443 для API-запросов)
в секции MaxPatrol для параметра password укажите пароль, при этом учитывайте, что если пароль содержит спецсимволы (":", "-", "$", "*" и др.), в таком случае пароль необходимо "обернуть" в одинарные или двойные кавычки
в секции tenants для параметра fqdn укажите регулярное выражение ".*", если не требуется искать активы, fqdn которых соответствует заданному регулярному выражению
в секции tenants можно не указывать значения подсетей для параметра networks, если необходимо импортировать все активы, доступные в MP VM

Поиск импортированных активов

Для поиска импортированных активов MP VM перейдите в Активы -> Выберите Поиск с условиями и задайте условие согласно скриншоту ниже.

Нажмите Поиск.

Если актив уже ранее был импортирован из KSC и аналогичный актив импортируется из MP VM, в таком случае карточка актива дополнится информацией об уязвимостях, обнаруженных MP VM.

Если актив изначально был импортирован из MP VM и далее аналогичный актив (с аналогичным IP и FQDN) будет импортирован из KSC, в таком случае актив "переподчинится" на управляемый из KSC.

Для поиска активов, которые ранее уже были импортированы из KSC и информация в карточке таких активов была дополнена данными MP VM, выберите Поиск с условиями и задайте условия согласно скриншоту ниже.

Нажмите Поиск.

Карточка актива с информацией об уязвимостях, полученной из KSC и из MP VM выглядит согласно скриншоту ниже.

LDAP-обогащение

GeoIP-обогащение (Геоданными)

Интеграция CyberTrace с KUMA

DNS-обогащение

Обогащение событий информацией об Активах

Обогащение произвольного поля с утилитой Tracer

Описание готовых интеграций по реагированию

Запуск скрипта коррелятором

Настройка автоматического реагирования KUMA с помощью задач KSC

Блокировка адресов при помощи Cisco ASA Firewall на основе сработок алертов

Отправка уведомления в телеграм-бот

Реагирование на BIFIT Mitigator

Отправка уведомления в телеграм-бот со ссылкой на KATA и KUMA

Интеграция по реагированию KUMA и KEDR

Реагирование на KICS Networks с помощью скрипта

Nessus и OWASP ZAP

Импорт информации об активах RedCheck

Импорт данных из отчетов MaxPatrol в KUMA 3.2

Импорт данных об активах из MaxPatrol VM

Интеграция KUMA с KSC

KSC: увеличение лимита экспорта событий в SIEM (Syslog/CEF)

Импорт данных об активах из MaxPatrol VM

Подготовительные действия в MP VM

Создание конфигурационного файла

Поиск импортированных активов

No Comments