Интеграция с Kaspersky TIP

В рамках базовой лицензии KUMA предоставляется доступ к Threat Intelligence Portal. Лицензия KUMA включает в себя возможность сделать до 100 запросов в Kaspersky Threat Lookup и до 10 запросов в Kaspersky Threat Analysis в период действия лицензии для получения дополнительного контекста в ходе проведения расследований. Чтобы активировать эту функцию, получить дополнительные инструкции и сертификат отправьте запрос с указанием номера заказа на адрес intelligence@kaspersky.com. 

Создание секрета в KUMA

Предварительно необходимо создать ресурс типа Секрет для интеграции с Kaspersky Threat Intelligence Portal:

1.        Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты. Отобразится список доступных секретов.

2.      Нажмите на кнопку Добавить, чтобы создать новый секрет. Этот ресурс будет использоваться для хранения данных вашей учетной записи Kaspersky Threat Intelligence Portal.

3.      В появившемся окне Создание секрета введите данные секрета:

·         В поле Название укажите имя для добавляемого секрета.

·         В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.

·         В раскрывающемся списке Тип выберите ktl.

·         В полях Пользователь и Пароль введите данные своей учетной записи Kaspersky Threat Intelligence Portal (будут предоставлены при запросе на intelligence@kaspersky.com).

·         Загрузите PFX-файл с учетными данными и сертификатами для доступа к Kaspersky Threat Intelligence Portal (будет предоставлен при запросе на intelligence@kaspersky.com):

·         Нажмите Загрузить PFX и выберите PFX-файл с сертификатом. Имя выбранного файла отображается справа от кнопки Загрузить PFX.

·         В поле Пароль PFX введите пароль для PFX-файла.

·         Нажмите Создать.

Из соображений безопасности после сохранения секрета строки, указанные в полях Пользователь, Пароль и Пароль для PFX-файла скрываются

Создание подключения к Kaspersky Threat Lookup

Предварительно выполните вход на портал Kaspersky Threat Intelligence Portal (https://tip.kaspersky.com/), введите данные учетной записи, указанной в ранее созданном секрете, и примите Условия использования.

Чтобы создать подключение к Kaspersky Threat Lookup:

1.        Перейдите в раздел Параметры → Kaspersky Threat Lookup в веб-интерфейсе KUMA.

2.      Убедитесь, что флажок Выключено снят.

3.      В раскрывающемся списке Секрет выберите секрет, который вы создали ранее.

4.       При необходимости в раскрывающемся списке Прокси-сервер выберите прокси-сервер.

5.      Нажмите Сохранить.

Процесс интеграции KUMA с Kaspersky Threat Intelligence Portal завершен.

 После интеграции Kaspersky Threat Intelligence Portal и KUMA в области деталей события появится возможность запрашивать сведения о хостах, доменах, URL-адресах, IP-адресах и хешах файлов (MD5, SHA1, SHA256).

Запрос данных от Kaspersky Threat Intelligence Portal

Чтобы запросить данные от Kaspersky Threat Intelligence Portal:

1.        Перейдите в раздел События, выберите одно из событий в таблице событий.

2.      В появившемся окне Информация о событии нажмите ссылку на домене, URL, IP-адресе или хеш-сумме файла и выберите Показать информацию из Threat Lookup.

3.      В окне Подробнее нажмите Обогатить данные Kaspersky TIP.

4.       В окне Обогащение Threat Lookup выберите группы данных для запроса и нажмите Запрос.

Будет создана задача Threat Lookup. По ее завершении события дополнятся данными из Kaspersky Threat Intelligence Portal.

Чтобы просмотреть полученные данные из Kaspersky Threat Intelligence Portal:

1.        В разделе События в окне Информация о событии нажмите ссылку на домене, URL, IP-адресе или хеш-сумме файла, для которого вы ранее запрашивали данные от Kaspersky Threat Intelligence Portal, и выберите Показать информацию из Threat Lookup.

2.      В правой части экрана откроется область деталей с данными из Kaspersky Threat Intelligence Portal с указанием времени последнего обновления этих данных.

Информация, полученная от Kaspersky Threat Intelligence Portal, кешируется. Если нажать на домен, веб-адрес, IP-адрес или хеш-файла в области деталей события, для которого у KUMA уже есть доступная информация, вместо окна Обогащение Threat Lookup отобразятся данные из Kaspersky Threat Intelligence Portal с указанием времени их получения. Эти данные можно обновить.

Также информацию, полученную от Kaspersky Threat Intelligence Portal, можно посмотреть в Диспетчере задач. Для этого перейдите в Диспетчер задач выберите задачу Threat Lookup и нажмите Показать результат.