# Отправка уведомления в телеграм-бот со ссылкой на KATA и KUMA

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

<p class="callout danger">Данный сценарий рекомендуется использовать **только в демонстрационных целях**!   
Правило корреляции из данного сценария написано с широким фильтром и на боевой инсталляции может генерировать большое число алертов!  
</p>

### Настройка Telegram

Настройки Telegram-бота, а также инструкции по импорту скрипта на коррелятор приведены в соответствующей **[статье ](https://kb.kuma-community.ru/books/integracii/page/otpravka-uvedomleniia-v-telegram-bot "Отправка уведомления в телеграм-бот")**

---

### Скрипт уведомления

Скрипт отправки уведомления выглядит следующим образом:

```bash
#!/bin/bash
set -eu
CHAT_ID=<id чата>
TG_TOKEN=<токен>
KUMA_ASSETS="https://<KUMA_ADDR>:7220/assets/all?asset="
TEXT="В KATA обнаружен TAA-детект <b>$1</b> на хосте <a href='$KUMA_ASSETS$3'>$2</a>.%0AАлерт KATA доступен по <a href='$4'>ссылке</a>"

curl --data-urlencode "chat_id=$CHAT_ID" --data "text=$TEXT" --data-urlencode "parse_mode=HTML" https://api.telegram.org/bot$TG_TOKEN/sendMessage
```

Для работы скрипта необходимо задать следующие параметры:

- `CHAT_ID` - id чата или группы с ботом вместо `<id чата>`
- `TG_TOKEN` - токен бота вместо `<token>`
- `KUMA_ASSETS` - указать адрес KUMA (FQDN или IP) вместо `<KUMA_ADDR>`

Поместите скрипт в папку коррелятора, уведомления о сработках которого необходимо отправлять через телеграм-бот

---

### Настройка KUMA

Для реализации предложенного сценария необходимо:

1\. Импортировать в систему пакет ресурсов по [**ссылке**](https://box.kaspersky.com/d/f635a66de3f847dc8124/)

<details id="bkmrk-%D0%A1%D0%BE%D1%81%D1%82%D0%B0%D0%B2-%D0%B8-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C-%D0%BE%D1%82-%D0%BF"><summary>Состав и пароль от пакета ресурсов</summary>

Пароль для импорта: **Qwerty123!**

Состав пакета:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/scaled-1680-/2Ypimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/2Ypimage.png)

</details>2\. На коллекторе для сбора событий KATA применить правило обогащения из пакета **KATA alert** (или коробочный аналог **\[OOTB\] Kata Alert**)

3\. На коррелятор привязать правило корреляции **\[KATA\] Обнаружен TAA-детект**

4\. На коррелятор привязать правило реагирования **\[DEMO\] Telegram -2**

5\. Выполнить обновление параметров сервисов коллектора и коррелятора.

---

### Результат работы скрипта

1\. Когда КАТА возводит алерт по ТАА-правилам, в KUMA срабатывает правило корреляции.   
2\. Корреляционное событие этого правила триггерит правило реагирования.   
3\. По правилу реагирования запускается скрипт отправки уведомлений в Телеграм.

Уведомление в телеграм содержит наименование TAA-детекта, FQDN-хоста, на котором была обнаружена активность (со ссылкой на активы KUMA), ссылку на соответствующий алерт в KATA.

<details id="bkmrk-%D0%9F%D1%80%D0%B8%D0%BC%D0%B5%D1%80-%D1%83%D0%B2%D0%B5%D0%B4%D0%BE%D0%BC%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F"><summary>Пример уведомления</summary>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/scaled-1680-/CPjimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/CPjimage.png)

</details>