Skip to main content

Интеграция с Kapsersky MDR

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Предварительные требования

  1. Правило доступа FQDN + порт
  2. Загрузить архив mdr_integration. со скриптами отсюда [будет ссылка на box]

Описание интеграции

Описанная в данной статье интеграция с Kaspersky Managed Detection and Response позволяет ....

Настройка

  • Все из под root?
  • Скопируйте архив kuma_mdr_integration.tar.gz на сервер (в случае распределенной инсталяции на сервер Core) и распакуйте его с помощью следующей команды, например, в каталог /opt:

     

    tar -xpf kuma_mdr_integration.tar.gz
  • Перейдите в папку /opt/conf и отредактируйте файл conf.yaml:
    • В секции General settings укажите путь до папки со скриптами и client_id
    • В секции Modules settings  -> kuma укажите:
      • api_url
      • username
      • password
      • tenantId (тенант, в котором будут создаваться инциденты)

TenantID можно получить из события аудита KUMA

    • В секции Modules settings  -> logging также укажите путь до папки со скриптами
  • Открыть conf/.refresh_token и вставить туда API токен для доступа в MDR



UPD: Дал права Post /events
UPD: tenantId можно взять из события аудита
В разделе Modules settings  -> logging тоже укажите путь до папки со скриптом
Открыть conf/.refresh_token и вставить туда API токен для доступа в MDR

Для получения токена, необходимо:fa

перейте в Settings → API
указать Connection Name (он будет использоваться как имя пользователя при создании инцидентов/комментариев/вложений и т.д., так как токен доступа не привязан к конкретному пользователю)
указать Role, чтобы определить права доступа для токена
указать Tenant при необходимости
нажать Generate
после генерации будут получены:
JWT Token - он же refresh_token, который требуется активировать, чтобы получить новую пару refresh_token и access_token
ClientID - ID клиента для подключения по API. Требуется указывать при каждом запросе по API


Открыть conf/.last_check и указать время, с которого необходимо начать собирать инциденты. Для теста можно указать время до появления последнего инцидента. Формат в милисекундах, то есть должно быть 13 цифр
Попробовать запустить скрипт python3 ./main.py. Если ошибки не повалились, кроме предупреждений о невалидном сертификате, а просто ничего не происходит, значит все работает. Лог скрипта пишется в log/app.log. Ошибку с невалидным сертификатом можно будет убрать, еtсли потребуется.

#Дополнительные действия
Установить недостающие пакеты
pip install $наименование пакета

Создать директорию log (/opt/mdr/conf/log)

Back to top