Реагирование с помощью Active Directory

Вы можете интегрировать Open Single Management Platform со службами Active Directory, которые используются в вашей организации. Active Directory считается интегрированной с Open Single Management Platform после настройки интеграции между Active Directory и KUMA.

Процесс настройки интеграции Open Single Management Platform и Active Directory заключается в настройке подключений к LDAP. Вам нужно настроить подключения к LDAP отдельно для каждого тенанта.

В результате, если возникнет алерт или инцидент, вы сможете выполнить действия по реагированию в отношении связанных пользователей этого тенанта.

Вы можете выполнить действие по реагированию с помощью Active Directory одним из следующих способов:

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действие по реагированию с помощью Active Directory, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Чтобы выполнить действие по реагированию с помощью Active Directory:

  1. В главном меню перейдите в раздел Мониторинг и отчеты, выберите раздел Алерты или Инциденты.

    Если вы хотите выполнить действие по реагированию из телеметрии события, выберите раздел Алерты.

    Если вы выполняете действие по реагированию из графа расследования, выберите раздел Инциденты.

  2. Нажмите на идентификатор нужного алерта или инцидента.
  3. В открывшемся окне выполните одно из следующих действий:
    • Если вы хотите выполнить действие по реагированию с помощью деталей алерта или инцидента, выберите вкладку Активы и нажмите на имя пользователя.
    • Если вы хотите выполнить действие по реагированию с помощью события телеметрии, выберите вкладку Подробнее, а затем либо нажмите на имя требуемого события и выберите пользователя, либо нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз, и выберите нужного пользователя.
    • Если вы хотите выполнить действие по реагированию с помощью графа расследования, нажмите на кнопку Посмотреть на графе. В открывшемся графе расследования нажмите на имя пользователя.

    В правой части экрана откроется окно Информация об учетной записи.

  4. В раскрывающемся списке Реагирование через Active Directory выберите действие, которое вы хотите выполнить:
    • Заблокировать учетную запись

      Если учетная запись пользователя заблокирована как результат действия по реагированию на соответствующий алерт или инцидент, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

    • Сбросить пароль

      Если пароль учетной записи пользователя сброшен как результат действия по реагированию на соответствующий алерт или инцидент, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

    • Добавить пользователя в группу безопасности

      В открывшемся окне в поле Группа безопасности DN укажите полный путь к группе безопасности, в которую вы хотите добавить пользователя. Например, CN = HQ Team, OU = Groups, OU = ExchangeObjects, DC = avp, DC = ru. Нажмите на кнопку Добавить. В рамках одной операции можно указать только одну группу.

      Если пользователь добавлен в группу безопасности как результат действия по реагированию на соответствующий алерт или инцидент, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

    • Удалить пользователя из группы безопасности

      В открывшемся окне в поле Группа безопасности DN укажите полный путь к группе безопасности, из которой вы хотите удалить пользователя. Например, CN = HQ Team, OU = Groups, OU = ExchangeObjects, DC = avp, DC = ru. Нажмите на кнопку Удалить. В рамках одной операции можно указать только одну группу.

      Если пользователь удален из группы безопасности как результат действия по реагированию на соответствующий алерт или инцидент, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

В начало