Описание готовых интеграций по реагированию
Весь актуальный и новый контент с описанием добавляется в GitHub - https://github.com/KUMA-Community
Реагирование из коробки KUMA
- Запуск задачи обновления баз KES
- Запуск задачи сканирования KES
- Изоляция хоста и снятие с изоляции
- Блокировка хеша по md5 и sha256 на хосте
- Запуск исполняемого файла на хосте по полному пути
- Изменение статуса актива на Разрешенное
- Изменение статуса актива на Неразрешенное
- Блокировка УЗ
- Сброс пароля УЗ
- Добавление УЗ в группу и исключение из группы
- Изменять группы обучения пользователей
- Просматривать информацию о курсах, пройденных пользователями, и полученных ими сертификатах
Готовые скрипты (описание)
- Оповещения об алерте в телеграм канале
- Оповещения об алерте в телеграм канале
- Бот позволяет закрывать алерты по кнопке, создавать резервную копию и выполнять команды ssh на KUMA.
- Блокировка по IP
- Блокировка по URL
- Блокировка по Домену
- Изоляция хоста и снятие с изоляции
- Блокировка хеша по md5 и sha256 на хосте
- Запуск исполняемого файла на хосте по полному пути
- Логирование реагирования в системном журнале
- Блокировка УЗ и разблокировка
- Выход пользователя из активных сессий
- Добавление УЗ в группу и исключение из группы
- Блокировка по URL
- Блокировка по IP
- Блокировка по DOMAIN
- Блокировка по EMAIL
- Блокировка по IP
- Защита от брутфорса интерфейса KUMA
- Блокировка по IP
- Временная блокировка трафика по src_ip, dst_ip, src_port, dst_port, protocol
Создание задач в Kaspersky Security Center
Предварительно выполните шаги по настройке интеграции с Kaspersky Security Center, описанные в Разделе Интеграция с Kaspersky Security Center.
Вы можете вручную или автоматически запускать на активах Kaspersky Security Center, импортированных в KUMA, задачу обновления антивирусных баз и модулей программы и задачу поиска вредоносного ПО. На активах должны быть установлены программы Kaspersky Endpoint Security для Windows или Linux.
Предварительно на стороне Kaspersky Security Center необходимо создать задачи обновления антивирусных баз и поиска вредоносного ПО.
Kaspersky Security Center Web Console
Чтобы создать задачу поиска вредоносного ПО:
1. Выберите Активы (Устройства) → Задачи.
2. В Списке задач нажмите на кнопку Добавить.
3. Запустится мастер создания задачи.
4. Настройте параметры задачи:
· В раскрывающемся списке Приложение выберите используемое приложение Kaspersky Endpoint Security для Windows (в нашем примере 12.8.0).
· В раскрывающемся списке Тип задачи выберите Поиск вредоносного ПО.
· В поле Название задачи введите название создаваемой задачи. Важно в названии задачи указать префикс «KUMA». Задачи для Kaspersky Endpoint Security с данным префиксом в дальнейшем будут доступны в интерфейсе KUMA.
· В блоке Устройства, которым будет назначена задача выберите Задать адреса устройств вручную или импортировать из списка.
5. Нажмите на кнопку Далее.
6. В окне Область действия задачи нажмите Добавить устройства. В окне справа Добавить устройства выберите Выбрать устройства, обнаруженные в сети Сервером администрирования. Для создания задачи можно указать любое устройство. KUMA будет передавать имена устройств, на которых нужно запустить задачу поиска вредоносного ПО.
7. Нажмите Добавить и затем Далее.
8. В окне Выбор учетной записи для запуска задачи укажите Учетная запись по умолчанию. Нажмите Далее.
9. Завершите работу мастера, нажав кнопку Готово.
10. В открывшемся окне свойств задачи перейдите на вкладку Параметры приложения и укажите Области проверки. В рамках тестирования можно уменьшить область проверки. В дальнейшем эту настройку можно изменить.
1. В секции Действие при обнаружении угрозы снимите флажок Выполнять только во время простоя компьютера.
2. Перейдите на вкладку Расписание и убедитесь, что для параметра Запуск задачи указано Вручную.
1. Нажмите Сохранить.
Задача поиска вредоносного ПО создана.
Далее создадим задачу обновления антивирусных баз и модулей.
Чтобы создать задачу обновления антивирусных баз и модулей:
1. Выберите Активы (Устройства) → Задачи.
2. В Списке задач нажмите на кнопку Добавить.
3. Запустится мастер создания задачи.
4. Настройте параметры задачи:
· В раскрывающемся списке Приложение выберите используемое приложение Kaspersky Endpoint Security для Windows (в нашем примере 12.8.0).
· В раскрывающемся списке Тип задачи выберите Обновление.
· В поле Название задачи введите название создаваемой задачи. Важно в названии задачи указать префикс «KUMA». Задачи для Kaspersky Endpoint Security с данным префиксом в дальнейшем будут доступны в интерфейсе KUMA.
· В блоке Устройства, которым будет назначена задача выберите Задать адреса устройств вручную или импортировать из списка.
5. Нажмите на кнопку Далее.
6. В окне Область действия задачи нажмите Добавить устройства. В окне справа Добавить устройства выберите Выбрать устройства, обнаруженные в сети Сервером администрирования. Для создания задачи можно указать любое устройство. KUMA будет передавать имена устройств, на которых нужно запустить задачу обновления антивирусных баз.
1. Нажмите Добавить и затем Далее.
2. В окне Выбор учетной записи для запуска задачи укажите Учетная запись по умолчанию. Нажмите Далее.
3. Завершите работу мастера, нажав кнопку Готово.
1. В открывшемся окне свойств задачи перейдите на вкладку Параметры приложения и при необходимости отредактируйте Источники обновлений и Настройки обновлений.
2. Перейдите на вкладку Расписание и убедитесь, что для параметра Запуск задачи указано Вручную.
3. Нажмите Сохранить.
Задача обновления антивирусных баз и модулей создана.