Skip to main content

Отправка уведомления в телеграм-бот со ссылкой на KATA и KUMA

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Данный сценарий рекомендуется использовать только в демонстрационных целях!
Правило корреляции из данного сценария написано с широким фильтром и на боевой инсталляции может генерировать большое число алертов!

Настройка Telegram

1.Настройки В Telegram находим бота: https://t.me/BotFather

2. Запускаем командой /start

image.png

3. Создаем нового бота командой /newbot

4. Вводим желаемое имя и логин бота (должен заканчиваться словом bot). В данном примере имя бота "KUMA DEMO" и логин бота "kumademo_bot".

image.png

5. По завершении получаем токен для обращения к боту и ссылку на него

image.png

6. Если планируется использовать бота в группе, а не в личных сообщениях, то необходимо изменить настройки приватности. Для этого вводим /mybots, выбираем своего бота из списка, выбираем Bot Settings, Group Privacy и выбираем Turn off. После этого бот сможет отправлять сообщения в группах.

7. Далее переходим в своего бота по ссылке полученной от BotFather и выполняем команду /start для запуска бота.

8. Для отправки сообщения отдельному пользователю необходимо начать диалог с ботом,Telegram-бота, а также узнатьинструкции chat_idпо этогоимпорту пользователя.скрипта Чтобына узнатькоррелятор chat_id пользователя заходимприведены в ботасоответствующей https://t.me/getmyid_botстатье  и вводим команду /start. Полученное значение chat_id потребуется в дальнейшем для отправки сообщений ботом

image.png

9. Чтобы отправлять сообщение ботом в группу необходимо узнать chat_id этой группы. Для этого в созданную группу необходимо пригласить бота https://t.me/getmyid_bot и он выведет chat_id группы (в поле Current chat ID), который потребуется в дальнейшем для отправки уведомлений. После получения id бота нужно удалить из группы.

10. Теперь можно отправить тестовое сообщение боту набрав в строке браузера команду:

https://api.telegram.org/bot<token>/sendMessage?chat_id=<chat_id>&text=test

Подставив вместо <token> и <chat_id> значения полученные ранее. В результате в личном чате или группе (в зависимости от выбранного способа) должно появиться уведомление, а в ответе браузера JSON не должен содержать ошибок.

image.png

11. После проверки работоспособности бота можно переходить к настройке отправки уведомлений.

Скрипт уведомления

1. Создайте скрипт уведомления

В простейшем виде скриптСкрипт отправки уведомления выглядит следующим образом:

#!/bin/bash
set -eu
CHAT_ID=<chat_idid из п.8-9 предыдущего разделачата>
TG_TOKEN=<token из п.5 предыдущего разделатокен>
RULE=$1KUMA_ASSETS="https://<KUMA_ADDR>:7220/assets/all?asset="
TEXT="ПроизошлаВ сработкаKATA правилаобнаружен TAA-детект <b>$RULE1</b> на хосте <a href='$KUMA_ASSETS$3'>$2</a>.%0AАлерт KATA доступен по <a href='$4'>ссылке</a>"

curl --data-urlencode "chat_id=$CHAT_ID" --data-urlencodedata "text=$TEXT" --data-urlencode "parse_mode=HTML" https://api.telegram.org/bot$TG_TOKEN/sendMessage

ВДля случае,работы еслискрипта унеобходимо серверазадать коррелятораследующие отсутствуетпараметры:

прямой
    доступ
  • CHAT_ID в- Интернет,id скриптчата можноили модифицироватьгруппы добавивс ботом
  • TG_TOKEN - токен бота
  • KUMA_ASSETS - указать адрес прокси-сервераKUMA для(FQDN доступаили вIP) Интернет

    вместо 
    #!/bin/bash<KUMA_ADDR>.
    • set -eu CHAT_ID=<chat_id из п.8-9 предыдущего раздела> TG_TOKEN=<token из п.5 предыдущего раздела> RULE=$1 TEXT="Произошла сработка правила <b>$RULE</b>" PROXY=<адрес и порт прокси-сервера> curl --proxy $PROXY --data-urlencode "chat_id=$CHAT_ID" --data-urlencode "text=$TEXT" --data-urlencode "parse_mode=HTML" https://api.telegram.org/bot$TG_TOKEN/sendMessage

2. Поместите скрипт в папку коррелятора, уведомления о сработках которого необходимо отправлять через телеграм-бот

Путь для размещения скрипта

/opt/kaspersky/kuma/correlator/<id>/scripts/

<id> - идентификатор коррелятора, можно найти в веб-интерфейсе (ссылка)

3. Назначьте пользователя kuma владельцем файла и дайте файлу права на выполнение

chown kuma:kuma /opt/kaspersky/kuma/correlator/<id>/scripts/bot.sh
chmod +x /opt/kaspersky/kuma/correlator/<id>/scripts/bot.sh

Настройка KUMA

Для реализации предложенного сценария необходимо:

1. ВИмпортировать веб-интерфейсев KUMAсистему перейдитепакет наресурсов вкладкупо Resourcesссылке,

выберите
ResponseСостав и нажмитепароль наот кнопкупакета ресурсов

Пароль для импорта: AddQwerty123!

Response.

Состав пакета:

image.png

2. ЗадайтеНа параметрыколлекторе правиладля реагирования

сбора
    событий
  • ВKATA полеприменить правило обогащения из пакета NameKATA alertукажите имя(или правилакоробочный реагирования.
  • Укажите тенант.
  • В полеаналог kind[OOTB] Kata Alertвыберите script.
  • Задайте имя скрипта в поле  Script name.
  • В качестве аргумента укажите {{.Name}} - так в качестве аргумента выполнения скрипта будет передаваться имя корреляционного события.

3. Далее перейдите в настройки коррелятора, который будет выполнять реагирование  На вкладкекоррелятор Response нажмите Add и из выпадающего списка выберите созданное ранеепривязать правило реагирования.

корреляции

image.png[KATA] Обнаружен TAA-детект

4. ОбновитеНа параметрыкоррелятор сервисапривязать коррелятораправило реагирования [DEMO] Telegram -2

5. Выполнить обновление параметров сервисов коллектора и коррелятора.

Результат работы скрипта

представлен

1. нижеКогда КАТА возводит алерт по ТАА-правилам, в KUMA срабатывает правило корреляции. 
2. Корреляционное событие этого правила триггерит правило реагирования. 
3. По правилу реагирования запускается скрипт отправки уведомлений в Телеграм.

image.pngУведомление в телеграм содержит наименование TAA-детекта, FQDN-хоста, на котором была обнаружена активность (со ссылкой на активы KUMA), ссылку на соответствующий алерт в KATA.

Пример уведомления

image.png


Back to top