Настройка отображения ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации о событии KUMA

При получении обнаружений Kaspersky Endpoint Detection and Response в KUMA можно настроить создание алерта для каждого обнаружения. Вы можете настроить отображение ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации об алерте KUMA.

Вы можете настроить отображение ссылки на обнаружение, если используете только один сервер Central Node Kaspersky Endpoint Detection and Response. Если Kaspersky Endpoint Detection and Response используется в режиме распределенного решения, настроить отображение ссылок в KUMA на обнаружения Kaspersky Endpoint Detection and Response невозможно.

Для настройки отображения ссылки на обнаружение в информации об алерте KUMA вам требуется выполнить действия в веб-интерфейсе Kaspersky Endpoint Detection and Response и KUMA.

В веб-интерфейсе Kaspersky Endpoint Detection and Response вам нужно настроить интеграцию программы с KUMA в качестве SIEM-системы. Подробнее о том, как настроить интеграцию, см. в справке Kaspersky Anti Targeted Attack Platform в разделе Настройка интеграции с SIEM-системой.

Настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

1. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории.
2. Создание правила корреляции.
3. Создание коррелятора.
4. Добавление коллектора, при котором следует учесть следующее:
   • На шаге Транспорт требуется указать тип коннектора (TCP или UDP) и порт подключения (значение должно совпадать со значением, установленным в параметрах подключения к SIEM в Kaspersky Anti Targeted Attack Platform).
   • На шаге Парсинг при выборе нормализатора требуется указать сопоставления для полей KEDR-событий или выбрать нормализатор [OOTB] KATA.
   • После добавления коррелятора требуется указать в коллекторе точку назначения в коррелятор.

Вы можете использовать преднастроенное корреляционное правило. В этом случае настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

1. Создание коррелятора.

   В качестве правила корреляции вам нужно выбрать правило [OOTB] KATA Alert.

2. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории КАТА standAlone.

Шаг 1. Добавление актива и назначение ему категории

Предварительно вам нужно создать категорию, которая будет назначена добавляемому активу.

Чтобы добавить категорию:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. На вкладке Все активы разверните список категорий тенанта, выполнив одно из следующих действий:
   • В блоке Все тенанты нажмите на значок меню () и выберите Развернуть все.
   • В дереве объектов Все тенанты нажмите на значок стрелки () рядом с его названием.
3. Выберите требуемую категорию или подкатегорию и выполните одно из следующих действий:
4. Нажмите на значок добавления ().
5. Нажмите на значок меню () и выберите Добавить подкатегорию.

   В правой части окна веб-интерфейса откроется боковая панель Добавить категорию.

6. Укажите параметры категории:
   1. В поле Название введите название категории.
   2. В раскрывающемся списке Родительская категория выберите категории в дереве категорий.
   3. Из раскрывающегося списка Тенант выберите тенанта, если он не указан автоматически.
   4. В раскрывающемся списке Способ категоризации выберите, как категория будет пополняться активами. В зависимости от выбора может потребоваться указать дополнительные параметры:
      • Вручную – активы можно привязать к категории только вручную.
      • Активно – активы будут с определенной периодичностью привязываться к категории, если удовлетворяют заданному фильтру.
        1. В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.

           Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.

        2. В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.

           Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять с помощью кнопок Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.

           Операнды и операторы фильтра категоризации

           Операнд	Операторы	Комментарий
           Номер сборки	>, >=, =, <=, <
           ОС	=, like	Оператор like обеспечивает регистронезависимый поиск.
           IP-адрес	inSubnet, inRange	IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24). При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.
           Полное доменной имя	=, like	Оператор like обеспечивает регистронезависимый поиск.
           CVE	=, in	Оператор in позволяет указать массив значений.
           ПО	=, like
           КИИ	in	Можно выбрать более одного значения.
           Последнее обновление антивирусных баз	>=,<=
           Последнее обновление информации	>=,<=
           Последнее обновление защиты	>=,<=
           Время начала последней сессии	>=,<=
           Расширенный статус KSC	in	Расширенный статус устройства. Можно выбрать более одного значения.
           Статус постоянной защиты	=	Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.
           Статус шифрования	=
           Статус защиты от спама	=
           Статус антивирусной защиты почтовых серверов	=
           Статус защиты данных от утечек	=
           Идентификатор расширенного статуса KSC	=
           Статус Endpoint Sensor	=
           Последнее появление в сети	>=,<=

        3. С помощью кнопки Проверить условия убедитесь, что указанный фильтр верен: при нажатии на кнопку отображается окно Активы, найденные по заданным условиям с перечнем активов, удовлетворяющих условиям поиска.
      • Реактивно – категория будет наполняться активами с помощью правил корреляции.
   5. При необходимости укажите значения для следующих параметров:
      • Назначьте уровень важности категории в раскрывающемся списке Уровень важности.

        Указанный уровень важности присваивается корреляционным событиям и алертам, связанным с этим активом.

      • В поле Описание добавьте описание категории.
7. Нажмите на кнопку Сохранить.

Чтобы добавить актив:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. Нажмите на кнопку Добавить актив.

   В правой части окна откроется область деталей Добавить актив.

3. Укажите следующие параметры актива:
   1. В поле Название актива введите название актива.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать актив.
   3. В поле IP-адрес укажите IP-адрес сервера Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения. При необходимости вы можете добавить еще один или несколько IP-адресов сервера.
   4. При необходимости укажите значения для следующих полей:
      • В поле Полное доменное имя укажите FQDN сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле MAC-адрес укажите MAC-адрес сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле Владелец укажите имя владельца актива.
      • В поле Категории выберите категорию тенанта.
      • В раскрывающемся списке Категории КИИ выберите категорию критической информационной инфраструктуры ресурса.
4. При необходимости в блоке Программное обеспечение укажите название и версию используемой операционной системы.
5. При необходимости в блоке Информация об оборудовании укажите следующие параметры используемого оборудования:
   • Название, количество ядер и частоту процессора в МГц. При необходимости с помощью кнопки Добавить процессор вы можете дополнительно указать один или несколько процессоров.
   • Количество свободных байт на диске и объем диска в байтах. При необходимости с помощью кнопки Добавить диск вы можете дополнительно указать один или несколько дисков для использования.
   • Название, производителя и версию драйвера сетевой карты. При необходимости с помощью кнопки Добавить сетевую карту вы можете дополнительно указать одну или несколько сетевых карт.
   • Частоту ОЗУ в МГц и общий объем ОЗУ в байтах.
6. Нажмите на кнопку Сохранить.

Шаг 2. Добавление правила корреляции

Вы можете создать правило корреляции или использовать готовое правило [OOTB] KATA Alert.

Чтобы добавить правило корреляции:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В блоке Конфигурация ресурсов выберите Правила корреляции и нажмите на кнопку Добавить.
3. На вкладке Общие укажите следующие параметры:
   1. В поле Название укажите название правила.
   2. В раскрывающемся списке Тенант выберите интересующий вас тенант.
   3. В раскрывающемся списке Тип выберите simple.
   4. В раскрывающемся списке Теги выберите один или несколько тегов для идентификации правила.
   5. В поле Наследуемые поля добавьте следующие поля: DeviceProduct, DeviceAddress, EventOutcome, SourceAssetID, DeviceAssetID.
   6. При необходимости укажите значения для следующих полей:
      • В поле Частота срабатывания укажите максимальное количество срабатываний правила в секунду.
      • В поле Уровень важности укажите уровень важности алертов и корреляционных событий, которые будут созданы в результате срабатывания правила.
      • В поле Описание укажите любую дополнительную информацию.
      • В раскрывающемся списке Техники MITRE выберите применимые техники MITRE ATT&CK.
4. На вкладке Селекторы → Параметры укажите следующие параметры фильтра:
   1. В раскрывающемся списке Фильтр выберите Создать.
   2. Нажмите на кнопку Добавить группу.
   3. В поле с оператором для добавленной группы выберите И.
   4. Добавьте условие для фильтрации по значению KATA:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите Поля события.
      4. В поле Поля события выберите DeviceProduct.
      5. В поле Оператор выберите =.
      6. В поле Правый операнд выберите Константа.
      7. В поле значение введите KATA.
   5. Добавьте условие для фильтрации по категории:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите Поля события.
      4. В поле Поля события выберите DeviceAssetID.
      5. В поле Оператор выберите inCategory.
      6. В поле Правый операнд выберите Константа.
      7. Нажмите на кнопку Конструктор.
      8. Выберите категорию, в которую вы поместили актив сервера Central Node Kaspersky Endpoint Detection and Response.
      9. Нажмите на кнопку Сохранить.
   6. В поле Условия нажмите на кнопку Добавить группу.
   7. В поле с оператором для добавленной группы выберите ИЛИ.
   8. Добавьте условие для фильтрации по идентификатору класса события:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите Поля события.
      4. В поле Поля события выберите DeviceEventClassID.
      5. В поле Оператор выберите =.
      6. В поле Правый операнд выберите Константа.
      7. В поле Значение введите taaScanning.
   9. Повторите шаги 1–7 пункта h для каждого из следующих идентификаторов классов событий:
      • file_web.
      • file_mail.
      • file_endpoint.
      • file_external.
      • ids.
      • url_web.
      • url_mail.
      • dns.
      • iocScanningEP.
      • yaraScanningEP.
5. На вкладке Действия укажите следующие параметры:
   1. Установите флажок В дальнейшую обработку.
   2. В разделе Обогащение нажмите на кнопку Добавить обогащение.
   3. В раскрывающемся списке Исходный тип выберите Шаблон.
   4. В поле Шаблон введите https://{{.DeviceAddress}}:8443/katap/#/alerts?id={{.EventOutcome}}.

      Для того чтобы в дальнейшем параметр DeviceAddress отображался в виде ссылки в свойствах событий, нужно указать полное доменное имя (например example.com), а также должен присутствовать символ "/" после полного доменного имени или URL.

      Например https://example.com:8443/ или https://example.com/.

   5. В раскрывающемся списке Целевое поле выберите DeviceExternalID.
   6. При необходимости переведите переключатель Отладка в активное положение, чтобы зарегистрировать информацию, связанную с работой ресурса, в журнал.
6. Нажмите на кнопку Сохранить.

Шаг 3. Создание коррелятора

Вам нужно запустить мастер установки коррелятора. На шаге 3 мастера вам требуется выбрать правило корреляции, добавленное при выполнении этой инструкции.

После завершения создания коррелятора в информации об алертах, созданных при получении обнаружений из Kaspersky Endpoint Detection and Response, будет отображаться ссылка на эти обнаружения. Ссылка отображается в информации о корреляционном событии (раздел Связанные события), в поле DeviceExternalID.

Если вы хотите, чтобы в поле DeviceHostName в информации об обнаружении отображался FQDN сервера Central Node Kaspersky Endpoint Detection and Response, вам нужно создать запись для этого сервера в системе DNS и на шаге 4 мастера создать правило обогащения с помощью DNS.

В начало