Интеграция с ГосСОПКА

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/221777.htm

Настройка интерации

Для возможности отправки инцидентов в ГосСОПКА должна быть выполнена настройка, в разделе Параметры - НКЦКИ нужно указать параметры подключения:

Укажите URL, по которому доступен НКЦКИ.
Токен, который был выдан Заказчику для подключения к НКЦКИ.

Далее укажите сферу деятельности, местоположение и название компании.

Значение токена сохраняется в Секркте в KUMA:

Работа с инцидентом

После настройки взаимодействие с НКЦКИ и работа с инцидентом выполняется в разделе Инциденты. Для нового инцидента должны быть заполнены минимально необходимые поля:

категория инцидента;
тип инцидента;
описание инцидента.

Описание взаимодействия с НКЦКИ в онлайн-справке: https://support.kaspersky.com/KUMA/2.1/ru-RU/221855.htm

После нажатия кнопки Экспорт открывается вкладка для заполнения карточки инцидента в формате, который требует НКЦКИ. При необходимости может быть выбран чек-бокс «Затронутая система имеет подключение к Интернету», это подразумевает заполнение дополнительных сведений на вкладке Технические данные.

Вкладки Технические данные и Дополнительно не обязательно заполнять для запуска экспорта, но информация будет запрошена со стороны ГосСОПКА позже.

Вся информация отображается в ЛК Заказчика. При этом в связи с особенностями работы портала перейти из интерфейса KUMA сразу в нужный инцидент в ГосСОПКА нельзя, придется искать в списке всех инцидентов.

В интерфейсе KUMA можно отслеживать статус инцидента и изменения содержимого (если изменения были выполнены на портале, а не из KUMA).

При получении обратной связи статус инцидента изменяется, при необходимости инцидент можно дополнить данными
Есть чат с НКЦКИ (не онлайн, примерно раз в 10 минут – особенности на стороне НКЦКИ).

Есть возможность оповещений по почте о необходимости доработки инцидента.

LDAP-обогащение

GeoIP-обогащение (Геоданными)

Интеграция CyberTrace с KUMA

DNS-обогащение

Обогащение событий информацией об Активах

Обогащение произвольного поля с утилитой Tracer

Описание готовых интеграций по реагированию

Запуск скрипта коррелятором

Настройка автоматического реагирования KUMA с помощью задач KSC

Блокировка адресов при помощи Cisco ASA Firewall на основе сработок алертов

Отправка уведомления в телеграм-бот

Реагирование на BIFIT Mitigator

Отправка уведомления в телеграм-бот со ссылкой на KATA и KUMA

Интеграция по реагированию KUMA и KEDR

Реагирование на KICS Networks с помощью скрипта

Nessus и OWASP ZAP

Импорт информации об активах RedCheck

Импорт данных из отчетов MaxPatrol в KUMA 3.2

Импорт данных об активах из MaxPatrol VM

Интеграция KUMA с KSC

KSC: увеличение лимита экспорта событий в SIEM (Syslog/CEF)

Интеграция с ГосСОПКА

Настройка интерации

Работа с инцидентом

No Comments