Запуск скрипта коррелятором

Интерпретатор скрипта должен поддерживаться ОС на которой находится скрипт.

Для того чтобы коррелятор мог запускать скрипты. Зайти по ssh на сервер где находится служба коррелятора и поместите скрипт (можно сделать с помощью WinSCP или любым другим инструментом) в следующую папку коррелятора:

/opt/kaspersky/kuma/correlator/<id>/scripts/

<id> - идентификатор коррелятора, можно найти в веб-интерфейсе (подробнее как это сделать ссылка)

Назначьте пользователя kuma владельцем файла и дайте файлу права на выполнение:

chown kuma:kuma /opt/kaspersky/kuma/correlator/<id>/scripts/my_script.sh
chmod +x /opt/kaspersky/kuma/correlator/<id>/scripts/my_script.sh

В группирующем поле правила корреляции должны находиться целевые поля, которые используются в правилах реагирования, в нашем примере это DestinationAddress.

В правиле реагирования рекомендуется добавить в условие (если необходимо) правило корреляции, на основе которого реагирование будет срабатывать:

После внесения изменений в ресурсах (правила корреляции или реагирования) необходимо обноить параметры коррелятора в активных сервисах

LDAP-обогащение

GeoIP-обогащение (Геоданными)

Интеграция CyberTrace с KUMA

DNS-обогащение

Обогащение событий информацией об Активах

Обогащение произвольного поля с утилитой Tracer

Описание готовых интеграций по реагированию

Запуск скрипта коррелятором

Настройка автоматического реагирования KUMA с помощью задач KSC

Блокировка адресов при помощи Cisco ASA Firewall на основе сработок алертов

Отправка уведомления в телеграм-бот

Реагирование на BIFIT Mitigator

Отправка уведомления в телеграм-бот со ссылкой на KATA и KUMA

Интеграция по реагированию KUMA и KEDR

Реагирование на KICS Networks с помощью скрипта

Nessus и OWASP ZAP

Импорт информации об активах RedCheck

Импорт данных из отчетов MaxPatrol в KUMA 3.2

Интеграция KUMA с KSC

KSC: увеличение лимита экспорта событий в SIEM (Syslog/CEF)

Запуск скрипта коррелятором

No Comments