Интеграция с Kaspersky Threat Intelligence Portal

Вам нужно настроить интеграцию с Kaspersky Threat Intelligence Portal (далее также Kaspersky TIP), чтобы получать информацию о репутации наблюдаемых объектов.

Перед настройкой параметров вам необходимо создать токен авторизации для API-запросов на Kaspersky TIP или Kaspersky OpenTIP.

Чтобы настроить интеграцию Open Single Management Platform и Kaspersky TIP:

  1. В главном окне приложения перейдите в раздел ПараметрыТенанты.

    Список тенантов отображается на экране.

  2. Нажмите на имя нужного тенанта.

    Откроется окно свойств тенанта.

  3. Выберите вкладку Параметры и перейдите в раздел Kaspersky TIP.

    Вы можете изменить значения в разделе Kaspersky TIP, если вам назначена одна из следующих ролей XDR: Главный администратор, Администратор тенанта или Администратор SOC.

  4. Если на шаге 2 вы выбрали корневой тенант, вы можете включить переключатель Прокси-сервер, чтобы использовать прокси-сервер для взаимодействия с Kaspersky TIP.

    Прокси-сервер настраивается в свойствах корневого Сервера администрирования.

  5. В поле TTL кеш укажите срок хранения кеша и единицы измерения: дни или часы.

    По умолчанию установлено 7 дней. Если вы не укажете никакого значения, срок хранения кеша неограничен.

    Вы устанавливаете период хранения кеша для всех подключений.

  6. Включите переключатель Интеграция для одного из следующих сервисов:
    • Kaspersky TIP (общий доступ)

      После добавления токена авторизации вы сможете получить информацию от Kaspersky TIP о следующих типах объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обогащение. При запросе данных расходуется квота данных.

    • Kaspersky TIP (премиум-доступ)

      После добавления токена авторизации вы сможете выполнять следующие действия:

      • Получать подробную информацию от Kaspersky TIP о следующих типах наблюдаемых объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обогащение. При запросе данных расходуется квота данных.
      • Получать подробную информацию от Kaspersky TIP о следующих типах наблюдаемых объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обновление статуса. При запросе данных квота не расходуется.
  7. Нажмите на кнопку Добавить токен.
  8. В открывшемся окне введите нужные данные токена авторизации и нажмите на кнопку Добавить.

    Подробнее о формировании токена авторизации для API-запросов см. в справке Kaspersky TIP или Kaspersky OpenTIP.

    После добавления токена вы можете заменить его, нажав на кнопку Заменить и введя новый токен в открывшемся окне. Это может быть необходимо, если срок действия токена истек.

  9. Нажмите на кнопку Сохранить.
В начало