# Настройка автоматического реагирования KUMA с помощью задач KSC

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

<p class="callout info">Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/217923.htm</p>

### Сценарий демонстрации  


Предлагается следующий сценарий для демонстрации возможностей по автоматическому реагированию с помощью задач на KSC:

- на защищаемом устройстве с KES запустить тестовый вирус eicar
- событие обнаружения вируса поступает на KUMA
- на KUMA срабатывает корреляционное правило «Обнаружен вирус»
- на KUMA выполняется команда на запуск антивирусной проверки на защищаемом устройстве

---

### Настройка на стороне KSC

Создать внутреннего пользователя на KSC с необходимыми правами подробнее [**тут**](https://kb.kuma-community.ru/books/integracii/page/integraciia-kuma-s-ksc).

Создать задачу поиска вирусов для KES либо обновления баз. В KUMA механизм автоматического реагирования работает только для KES.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/A8qimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/A8qimage.png)

В целях тестирования можно уменьшить область поиска. В дальнейшем эту настройку можно изменить.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/wxzimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/wxzimage.png)

Выполнить настройки задачи, как на рисунке ниже:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/OfRimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/OfRimage.png)

Для создания задачи нужно указать любое устройство. При автоматическом запуске задачи KUMA будет передавать хосты, на которых нужно запустить задачу.

Затем нужно выбрать учетную запись и Настроить запуск задачи вручную.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/7f9image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/7f9image.png)

Важно в названии задачи сделать префикс «**KUMA**». Задачи для KES с этим префиксом будут доступны в интерфейсе KUMA. В нашем случае создаем задачу «**KUMA Поиск вирусов**».

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/dPRimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/dPRimage.png)

Завершить создание задачи.

---

### Настройка на стороне KUMA

Настроить интеграцию с KSC. При настройке «секрета» использовать учетную запись KSC, созданную на предыдущем шаге.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/IRPimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/IRPimage.png)

Далее можно убедиться, что поступают новые события аудита от KSC - подключен пользователь с адреса KUMA.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/yO5image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/yO5image.png)

акже на этом шаге важно убедится, что значение в поле DestinationHostName записывается в виде полного доменного имени FQDN.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/qjximage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/qjximage.png)

Если это не так и значение записывается в виде hostname без доменной части, то необходимо настроить нормализацию.  
Для этого открыть нормализатор KSC.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/DkIimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/DkIimage.png)

Настроить преобразование для поля DestinationHostName перед сохранением события

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/gmuimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/gmuimage.png)

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/GhUimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/GhUimage.png)

Сохранить нормализатор и обновить параметры коллектора.  
Проверить, что значение DestinationHostName в новых событиях сохраняются в виде FQDN.

---

### Подготовка ресурсов KUMA

Далее необходимо создать правила корреляции и реагирования. Это можно сделать вручную либо импортировать ресурсы из файла (Демонстрационный). Данная инструкция с импортом ресурсов.

Файл ресурсов можно скачать по ссылке: [https://box.kaspersky.com/f/a84686dbb6b3404987ff/](https://box.kaspersky.com/f/a84686dbb6b3404987ff/) Пароль: **KLaapt-M1** (вводится в интерфейсе KUMA при импортировании)

<p class="callout warning">Для сработки правила реагирования необходимо добавить в наследуеме поля правила корреляции поле DestinationAssetID</p>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/VvOimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/VvOimage.png)

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/qvOimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/qvOimage.png)

Привязать правило корреляции к коррелятору:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/AwMimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/AwMimage.png)

Привязать правило реагирования к коррелятору.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/I0Gimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/I0Gimage.png)

Сохранить настройки и перезапустить коррелятор.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/AIYimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/AIYimage.png)

---

### Проверка автоматического реагирования

На защищаемом устройстве эмулировать вирусное заражение с помощью eicar. Получено событие от KSC «Обнаружен вредоносный объект».

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/p1Limage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/p1Limage.png)

Создано корреляционное событие «\[KES\] Обнаружен вредоносный объект».

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/cQvimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/cQvimage.png)

Получены события подключения KUMA к KSC – события аудита.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/psBimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/psBimage.png)

Получены события о выполнении задачи поиска вирусов на KSC.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/iaRimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/iaRimage.png)

В KSC присутствуют события обнаружения вируса, подключения KUMA, выполнения задачи поиска вирусов.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/KC6image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/KC6image.png)