Отправка уведомления в телеграм-бот со ссылкой на KATA и KUMA

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Н

Данный стройка Telegram

1. В Telegram ценаходримй бота: https://t.me/BotFather

2. Запускарем комаендой /start

3. Создаем нового бота командой /newbot

4. Вводим желаемое имя и логин бота (должен заканчиваться словом bot). В данном примере имя бота "KUMA DEMO" и логин бота "kumademo_bot".

5. По завершении получаем токен для обращения к боту и ссылку на него

6. Если планируется использовать бтоталько в гдемонструппе, а ционе в личных сообщценилях,! т
Правило нкорреобходляцимои изм данного сценария написано с широким фильтром и на боевой инсталляции может генерировать нбольшое число алертов!

Настройка Telegram

Настройки приватности. Для этого вводим /mybots, выбираем своего Telegram-бота из списка, выбираем Bot Settings, Group Privacy и выбираем Turn off. После этого бот сможет отправлять сообщения в группах.

7. Далее переходим в своего бота по ссылке полученной от BotFather и выполняем команду /start для запуска бота.

8. Для отправки сообщения отдельному пользователю необходимо начать диалог с ботом, а также инструзнать chat_id этогокции польз имповрту скриптат на корреля. Чтобы узнать chat_idр пользоривателя заходим в бота https://t.me/getmyid_bot и вводим команду /start. Полученное значение chat_id потребуется в дальнейшем для отправки сообщений ботом

9. Чтобы отправлять сообщение ботом в группу необходимо узнать chat_id этой группы. Для этого в созданную группу необходимо пригласить бота https://t.me/getmyid_bot и он выведет chat_id группы (в поле Current chat ID), который потребуется в дальнейшем для отправки уведомлений. После получения id бота нужно удалить из группы.

10. Теперь можно отправить тестовое сообщение боту набрав в строке браузера команду:

https://api.telegram.org/bot<token>/sendMessage?chat_id=<chat_id>&text=test

Подставив вместо <token> и <chat_id> значения полученные ранее. В результате в личном чате или группе (в зависимости от выбранного способа) должно появиться уведомление, а в ответствующей браузера JSON не должен содержтать ошибок.

11. После проверки работоспособности бота можно переходить к настройке отправки уведомлений.

---

Скрипт уведомления

1. Создайте скрипт уведомления

В простейшем виде скрипт отправки уведомления выглядит следующим образом:

#!/bin/bash
set -eu
CHAT_ID=<chat_idid из п.8-9 предыдущего рчазделта>
TG_TOKEN=<token из п.5 пртокедыдущего разделан>
RULE=$1KUMA_ASSETS="https://<KUMA_ADDR>:7220/assets/all?asset="
TEXT="ПВ KATA обнароизошлаужен срабоTAA-детека правилат <b>$RULE1</b> на хосте <a href='$KUMA_ASSETS$3'>$2</a>.%0AАлерт KATA доступен по <a href='$4'>ссылке</a>"

curl --data-urlencode "chat_id=$CHAT_ID" --data-urlencodedata "text=$TEXT" --data-urlencode "parse_mode=HTML" https://api.telegram.org/bot$TG_TOKEN/sendMessage

ВДля случае, если у сервера коррелятора ботсутствует прямой доступ в Интернет,ы скрипта мнеожно мбходифицирмов задать следующие параметры:

• CHAT_ID - id чата или группы с ботом
• TG_TOKEN - токен ботавив
• KUMA_ASSETS - указать адрес проксKUMA (FQDN и-сли IP) вмервера для доступа в Интернет

  #!/bin/bash
  set -eu
  CHAT_ID=<chat_id из п.8-9 предыдущего раздела<KUMA_ADDR>.

TG_TOKEN=<token из п.5 предыдущего раздела> RULE=$1 TEXT="Произошла сработка правила <b>$RULE</b>" PROXY=<адрес и порт прокси-сервера> curl --proxy $PROXY --data-urlencode "chat_id=$CHAT_ID" --data-urlencode "text=$TEXT" --data-urlencode "parse_mode=HTML" https://api.telegram.org/bot$TG_TOKEN/sendMessage

2. Поместите скрипт в папку коррелятора, уведомления о сработках которого необходимо отправлять через телеграм-бот

Путь для размещения скрипта

/opt/kaspersky/kuma/correlator/<id>/scripts/

<id> - идентификатор коррелятора, можно найти в веб-интерфейсе (ссылка)

3. Назначьте пользователя kuma владельцем файла и дайте файлу права на выполнение

chown kuma:kuma /opt/kaspersky/kuma/correlator/<id>/scripts/bot.sh
chmod +x /opt/kaspersky/kuma/correlator/<id>/scripts/bot.sh

---

Настройка KUMA

Для реализации предложенного сценария необходимо:

1. ВИмпортировать веб- синстерфейсе KUMAму пакет рейдисурсов по ссылке

Состе на вкладку Resources, выберите Response и нпажмироль от паке нта кнресурсов

Пароль для импкуорта: AddQwerty123!

Response.

Состав пакета:

2. ЗНадай коллекторе падля сбора событий KATA применитрыь правило обога реагирования

• В поле Name укажите имя правила реагирования.
• Укажите тенант.
• В поле kind выберите script.
• Задайте имя скрипта в поле  Script name.
• В качестве аргумента укажите {{.Name}} - так в качестве аргумента выполнщения сиз пакрипета будетKATA передаватьсяalert (имяли корреобочный аналяционного события.
[OOTB]

Kata Alert

3. ДНалее перейдите в настройки коррелятор привяза,ть правило которыйреляции [KATA] Обнаружен TAA-детект

выполнять реагирование

4. На вкорреладкеятор Response нажмите Add и из выпадающего списка выберивязате созданное ранееь правило реагирования. [DEMO] Telegram -2

5.

4.Выполнить Ообновлените параметрыов сервисов коллектора и коррелятора.

5.

---

Результат работы скрипта

1. Когда КАТА возводит алерт по ТАА-правилам, в KUMA срабатывает правило корреляции. 
2. Корреляционное событие этого правила триггерит правило реагирования. 
3. По правилу реагирования запускается скрипт отправки уведомлений в Телеграм.

Уведомление в телеграм содержит наименование TAA-детекта, FQDN-хоста, на котором была обнаружена активность (со ссылкой на активы KUMA), ссылку на соответствующий алерт в KATA.

Пример уведомления

ниже