Интеграция KUMA с KSC

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/217923.htm

Интеграция KUMA с KSC позволяет получить активы и данные по ним, которыми управляет KSC, возможность запуска задач реагирования, перемещение активов между группами KSC, закрытие уязвимостей (при наличии лицензии от Kaspersky Endpoint Security для бизнеса Расширенный и выше) из интерфейса KUMA.

Для интеграции необходимо заранее создать учетную запись (внутреннего пользователя) в KSC:

Допускается также использовать доменную учетную запись пользователя для интеграции KUMA с KSC. Учетная запись пользователя в секрете KUMA указывается в формате: username@domain

Если на KSC включено MFA, то нужно сделать исключение для учетки KUMA. Согласно этой инструкции: https://support.kaspersky.com/help/KSC/14.2/ru-RU/211462.htm

В дополнение к исключению MFA для интеграционной УЗ KUMA можно настроить список адресов, с которых разрешено подключение к KSC: https://support.kaspersky.com/KSC/14.2/ru-RU/231374.htm

Созданной учетной записи необходимо назначить определенный набор прав доступа к функциям Kaspersky Security Center. Это можно сделать одним из следующих способов:

настроить права для учетной записи индивидуально;
создать роль пользователя с настроенным набором прав и присвоить данную роль учетной записи, которая будет использоваться для интеграции.

Перечень минимальных прав представлен на рисунке ниже. Данный набор прав позволяет:

выполнять импорт информации об активах;
перемещать устройства между группами KSC;
вручную запускать задачи поиска вредоносного ПО или обновления антивирусных баз из интерфейса KUMA;
автоматически запускать задачи поиска вредоносного ПО или обновления антивирусных баз с помощью правил реагирования KUMA.

Права пользователю нужно выдавать не только в свойствах KSC, но и в свойствах групп управляемых устройств, убедитесь, что не отключено наследование, чтобы права корректно распространялись на подгруппы

На стороне KUMA необходимо указать адрес и порт 13299 (этот порт используется по умолчанию), а также УЗ, о которой говорилось выше.

При нажатии в KUMA на кнопку "Сохранить", не должно всплавать сообщений об ошибке.

LDAP-обогащение

GeoIP-обогащение (Геоданными)

Интеграция CyberTrace с KUMA

DNS-обогащение

Обогащение событий информацией об Активах

Обогащение произвольного поля с утилитой Tracer

Описание готовых интеграций по реагированию

Запуск скрипта коррелятором

Настройка автоматического реагирования KUMA с помощью задач KSC

Блокировка адресов при помощи Cisco ASA Firewall на основе сработок алертов

Отправка уведомления в телеграм-бот

Реагирование на BIFIT Mitigator

Отправка уведомления в телеграм-бот со ссылкой на KATA и KUMA

Интеграция по реагированию KUMA и KEDR

Реагирование на KICS Networks с помощью скрипта

Nessus и OWASP ZAP

Импорт информации об активах RedCheck

Импорт данных из отчетов MaxPatrol в KUMA 3.2

Интеграция KUMA с KSC

KSC: увеличение лимита экспорта событий в SIEM (Syslog/CEF)

Интеграция KUMA с KSC

No Comments