Обогащение из плейбуков

После настройки интеграции между Open Single Management Platform и Kaspersky TIP вы можете получить информацию о репутации наблюдаемых объектов, связанных с алертом или инцидентом, из Kaspersky TIP или Kaspersky OpenTIP, а затем дополнить полученные данные.

Вы можете получить информацию только для наблюдаемых объектов следующего типа: домен, URL, IP, MD5, SHA256.

Вы можете настроить автоматическое обогащение данных. Для этого при создании или изменении плейбука в разделе Алгоритм необходимо указать следующее:

1. Ограничьте количество данных, возвращаемых Kaspersky TIP или Kaspersky OpenTIP, если это необходимо.

   Вы можете указать одно из следующих значений:

   • Все записи.
   • Топ-100.

     Это значение установлено по умолчанию.

2. Наблюдаемый объект, для которого плейбук запрашивает данные у Kaspersky TIP или Kaspersky OpenTIP.

   Обогащение данных осуществляется с помощью сервиса, указанного в интеграции с Kaspersky Threat Intelligence Portal.

В алгоритме плейбука вы можете использовать параметры обогащения вывода, отображаемые в полях, которые возвращает Kaspersky TIP.

Вы можете просмотреть результат обогащения для всех наблюдаемых объектов, связанных с алертом или инцидентом, одним из следующих способов:

• в деталях алерта или инцидента;
• в истории реагирования;
• в плейбуке.

Чтобы просмотреть результат обогащения:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты и выполните одно из следующих действий:
   • Если вы хотите просмотреть результат из деталей алерта или инцидента, перейдите в раздел Алерты или Инциденты и нажмите на идентификатор алерта или инцидента, для которого было выполнено обогащение. В открывшемся окне выберите вкладку История и перейдите на вкладку История реагирования.
   • Если вы хотите просмотреть результат в истории действий по реагированию, перейдите в раздел История реагирований.
   • Если вы хотите просмотреть результаты обогащения из плейбука, перейдите в раздел Плейбуки и нажмите на название плейбука, для которого было выполнено обогащение. В открывшемся окне выберите вкладку История.
2. В столбце Статус действия нажмите на статус плейбука, для которого вы хотите просмотреть результаты обогащения.

Вы также можете получить информацию из Kaspersky TIP и дополнить данные вручную на вкладке Наблюдаемые объекты в деталях алерта или инцидента.

В начало