Импорт информации об активах из MaxPatrol

В OSMP можно импортировать сведения об активах из отчетов о результатах сканирования сетевых устройств системы MaxPatrol. Импортированные активы отображаются в группе Активы. При необходимости вы можете редактировать параметры активов.

Вы можете импортировать информацию об активе из отчета MaxPatrol или из MaxPatrol VM.

Импорт информации об активах из отчета MaxPatrol

Импорт происходит через API с помощью утилиты maxpatrol-tool на сервере, где установлено Ядро KUMA.

Утилита входит в комплект поставки KUMA и расположена в архиве установщика в директории /kuma-ansible-installer/roles/kuma/files.

Импорт поддерживается из MaxPatrol 8.

Чтобы импортировать данные об активах из отчета MaxPatrol:

1. Сформируйте в MaxPatrol отчет сканирования сетевых активов в формате XML file и скопируйте файл отчета на сервер Ядра KUMA. Подробнее о задачах на сканирование и форматах выходных файлов см. в документации MaxPatrol.

   Импорт данных из отчетов в формате SIEM integration file не поддерживается. Требуется выбрать формат XML file.

2. Создайте файл с токеном для доступа к KUMA REST API. Для удобства рекомендуется разместить его в папке отчета MaxPatrol. Файл не должен содержать ничего, кроме токена.

   Требования к учетным записям, для которых генерируется API-токен:

   • Роль Администратора или Аналитика.
   • Доступ к тенанту, в который будут импортированы активы.
   • Настроены права на использование API-запросов GET /users/whoami и POST /api/v1/assets/import.

     Для импорта активов из MaxPatrol рекомендуется создать отдельного пользователя с минимально необходимым набором прав на использование API-запросов.

3. Скопируйте утилиту maxpatrol-tool на сервер с Ядром KUMA и сделайте файл утилиты исполняемым с помощью команды:

   chmod +x <путь до файла maxpatrol-tool на сервере с Ядром KUMA>

4. Запустите утилиту maxpatrol-tool:

   ./maxpatrol-tool --kuma-rest <адрес и порт сервера KUMA REST API> --token <путь и имя файла с API-токеном> --tenant <название тенанта, куда будут помещены активы> <путь и имя файла с отчетом MaxPatrol> --cert <путь к файлу сертификата Ядра KUMA>

   Пример: ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /opt/kaspersky/kuma/core/certificates/ca.cert

Вы можете использовать дополнительные флаги и команды для импорта. Например, команду для отображения полного отчета о полученных активах --verbose, -v. Подробное описание доступных флагов и команд приведено в таблице Флаги и команды утилиты maxpatrol-tool. Также для просмотра информации о доступных флагах и командах вы можете использовать команду --help.

Информация об активах будет импортирована из отчета MaxPatrol в KUMA. В консоли отображаются сведения о количестве новых и обновленных активов.

Пример: inserted 2 assets; updated 1 asset; errors occurred: []

Поведение утилиты при импорте активов:

• KUMA перезаписывает данные импортированных через API активов и удаляет сведения об их устраненных уязвимостях.
• KUMA пропускает активы с недействительными данными. Сведения об ошибках отображаются при использовании флага --verbose.
• Если в одном отчете MaxPatrol есть активы с одинаковыми IP-адресами и полными именами домена (FQDN), эти активы объединяются. Сведения об их уязвимостях и программном обеспечении также объединяются в одном активе.

  При загрузке активов из MaxPatrol активы с аналогичными IP-адресами и полными именами доменов (FQDN), ранее импортированные из Kaspersky Security Center, перезаписываются.

  Чтобы этого избежать, вам требуется настроить фильтрацию активов по диапазону с помощью команды:

  --ignore <диапазоны IP-адресов> или -i <диапазоны IP-адресов>

  Активы, соответствующие условиям фильтрации, не загружаются. Описание команды вы можете просмотреть в таблице Флаги и команды утилиты maxpatrol-tool.

  Флаги и команды утилиты maxpatrol-tool

  Флаги и команды	Описание
  --kuma-rest <адрес и порт сервера KUMA REST API>, -a <адрес и порт сервера KUMA REST API>	Адрес сервера с Ядром KUMA, куда будет производиться импорт активов, с указанием порта. Например, example.kuma.com:7223. По умолчанию для обращения по API используется порт 7223. При необходимости его можно изменить.
  --token <путь и имя файла с API-токеном>, -t <путь и имя файла с API-токеном>	Путь и имя файла, содержащее токен для доступа к REST API. Файл должен содержать только токен. Учетной записи, для которой генерируется API-токен, должна быть присвоена роль Администратора или Аналитика.
  --tenant <название тенанта>, -T <название тенанта>	Название тенанта KUMA, в который будут импортированы активы из отчета MaxPatrol.
  --dns <диапазоны IP-адресов> или -d <диапазоны IP-адресов>	Используется для обогащения IP-адресов FQDN из указанных диапазонов с помощью DNS, если для этих адресов FQDN не был указан. Пример: --dns 0.0.0.0-9.255.255.255,11.0.0.0-255.255.255,10.0.0.2
  --dns-server <IP-адрес DNS-сервера>, -s <IP-адрес DNS-сервера>	Адрес DNS-сервера, к которому должна обращаться утилита для получения информации о FQDN. Пример: --dns-server 8.8.8.8
  --ignore <диапазоны IP-адресов> или -i <диапазоны IP-адресов>	Диапазоны адресов активов, которые при импорте следует пропустить. Пример: --ignore 8.8.0.0-8.8.255.255, 10.10.0.1
  --verbose, -v	Выведение полного отчета о полученных активах и ошибках, возникших в процессе импорта.
  --help, -h help	Получение справочной информации об утилите или команде. Примеры: ./maxpatrol-tool help ./maxpatrol-tool <команда> --help
  version	Получение информации о версии утилиты maxpatrol-tool.
  completion	Создание скрипта автозавершения для указанной оболочки.
  --cert <путь до файла с сертификатом Ядра KUMA>	Путь к сертификату Ядра KUMA. По умолчанию сертификат располагается в папке с установленным приложением: /opt/kaspersky/kuma/core/certificates/ca.cert.

Примеры:

• ./maxpatrol-tool --kuma-rest example.kuma.com:7223 --token token.txt --tenant Main example.xml --cert /example-directory/ca.cert – импорт активов в KUMA из отчета MaxPatrol example.xml.
• ./maxpatrol-tool help – получение справки об утилите.

  Возможные ошибки

  Сообщение об ошибке	Описание
  must provide path to xml file to import assets	Не указан путь к файлу отчета MaxPatrol.
  incorrect IP address format	Некорректный формат IP-адреса. Может возникнуть при указании некорректных диапазонов IP.
  no tenants match specified name	Для указанного названия тенанта не было найдено подходящих тенантов с помощью REST API.
  unexpected number of tenants (%v) match specified name. Tenants are: %v	Из KUMA вернулось больше одного тенанта для указанного названия тенанта.
  could not parse file due to error: %w	Ошибка чтения xml-файла с отчетом MaxPatrol.
  error decoding token: %w	Ошибка чтения файла с API-токеном.
  error when importing files to KUMA: %w	Ошибка передачи сведений об активах в KUMA.
  skipped asset with no FQDN and IP address	У одного из активов в отчете не было FQDN и IP-адреса. Сведения об этом активе не были отправлены в KUMA.
  skipped asset with invalid FQDN: %v	У одного из активов в отчете был некорректный FQDN. Сведения об этом активе не были отправлены в KUMA.
  skipped asset with invalid IP address: %v	У одного из активов в отчете был некорректный IP-адрес. Сведения об этом активе не были отправлены в KUMA.
  KUMA response: %v	При импорте сведений об активах произошла ошибка с указанным ответом.
  unexpected status code %v	При импорте сведений об активах от KUMA был получен неожиданный код HTTP.

Импорт информации об активах из MaxPatrol VM

Дистрибутив OSMP включает утилиту kuma-ptvm, которая состоит из исполняемого файла и конфигурационного файла. Утилита поддерживает операционные системы Windows и Linux. Утилита позволяет подключаться к API MaxPatrol VM для получения данных об устройствах и их атрибутах, включая уязвимости, а также позволяет изменять данные активов и импортировать данные с использованием API OSMP. Импорт данных поддерживается для MaxPatrol VM 1.1.

Настройка импорта информации об активе из MaxPatrol VM в Ядро KUMA включает следующие этапы:

1. Подготовка OSMP и MaxPatrol VM.

   Вам нужно создать учетные записи пользователей и токен OSMP для операций API.

2. Создание конфигурационного файла с параметрами экспорта и импорта данных.
3. Импорт данных активов в Ядро KUMA с использованием утилиты kuma-ptvm:
   1. Данные экспортируются из MaxPatrol VM и сохраняются в директории утилиты. Информация для каждого тенанта сохраняется в отдельный файл в формате JSON.

      При необходимости вы можете изменить полученные файлы.

   2. Информация из файлов импортируется в Ядро KUMA.

При повторном импорте существующих активов, активы, которые уже существуют в Ядре KUMA, перезаписываются. Таким образом, удаляются закрытые уязвимости.

Известные ограничения:

• Если один и тот же IP-адрес указан для двух активов с разными FQDN, Ядро KUMA импортирует такие активы как два разных актива. Эти активы не объединяются.
• Если на активе установлено два приложения с одинаковыми данными в полях названия, версии и поставщика, Ядро KUMA импортирует эти данные как одно приложение, несмотря на разные пути установки приложения на активе.
• Если FQDN актива содержит пробел или подчеркивание (_), данные таких активов не импортируются в Ядро KUMA. В журнале событий будет указано, что активы были пропущены при импорте.
• Если во время импорта происходит ошибка, сведения об ошибке регистрируются и импорт останавливается.

Подготовительные действия:

1. Создайте отдельную учетную запись в OSMP и в MaxPatrol VM с минимально необходимым набором разрешений для использования API запросов.
2. Создайте учетные записи пользователей, для которых вы позже сгенерируете токен API.

   Требования к учетным записям, для которых генерируется API-токен:

   • Главный администратор, Администратор тенанта, Аналитик 2-го уровня или Аналитик 1-го уровня.
   • Доступ к тенанту, в который будут импортированы активы.
   • В учетной записи пользователя, в разделе прав доступа к API, установлен флажок для POST /xdr/api/v2.1/kuma/assets/import.
3. Сгенерировать токен для доступа к XDR REST API.

Чтобы создать конфигурационный файл:

1. Перейдите в папку утилит KUMA:

   cd /opt/kaspersky/kuma/utils/

2. Скопируйте шаблон kuma-ptvm-config-template.yaml, чтобы создать конфигурационный файл с именем kuma-ptvm-config.yaml.

   cp kuma-ptvm-config-template.yaml kuma-ptvm-config.yaml

3. Измените параметры в конфигурационном файле kuma-ptvm-config.yaml.
4. Сохраните изменения в файле.

Конфигурационный файл будет создан.

Чтобы импортировать информацию об активе:

1. Если вы хотите импортировать информацию об активе из MaxPatrol VM в Ядро KUMA без промежуточной проверки экспортированных данных, запустите утилиту kuma-ptvm со следующими параметрами:

   kuma-ptvm --config <path to the kuma-ptvm-config.yaml file> --download --upload

2. Если вы хотите проверить правильность данных, экспортированных из MaxPatrol VM, перед их импортом в Ядро KUMA:
   1. Запустите утилиту kuma-ptvm со следующими параметрами:

      kuma-ptvm --config <path to the kuma-ptvm-config.yaml file> --download

      Для каждого тенанта, указанного в конфигурационном файле, будет создан отдельный файл с именем в формате<tenant ID>.JSON. Также во время экспорта создается файл "tenants", содержащий список файлов JSON для загрузки в Ядро KUMA. Все файлы сохраняются в директории утилиты.

   2. Просмотрите экспортированные файлы активов и при необходимости внесите следующие изменения:
      • Назначьте активы соответствующим тенантам.
      • Вручную перенесите данные активов из файла тенанта "default" в файлы соответствующих тенантов.
      • В файле "tenants" измените список тенантов, активы которых вы хотите импортировать в Ядро KUMA.
   3. Импортируйте информацию об активе в Ядро KUMA:

      kuma-ptvm --config <path to the kuma-ptvm-config.yaml file> --upload

      Чтобы просмотреть информацию о доступных командах утилиты, выполните команду --help.

   Информация об активе импортируется из MaxPatrol VM в Ядро KUMA. В консоли отображаются сведения о количестве новых и обновленных активов.

Возможные ошибки:

При запуске утилиты kuma-ptvm может возвращаться ошибка tls: failed to verify certificate: x509: certificate is valid for localhost.

Чтобы решить проблему:

• Выпустите сертификат в соответствии с документацией MaxPatrol. Это рекомендованный способ решить эту ошибку.
• Выключите проверку сертификата.

  Чтобы выключить проверку сертификата, добавьте следующую строку в конфигурационный файл в разделе Параметры MaxPatrol:

  ignore_server_cert: true

В результате утилита запускается без ошибок.

В начало