Проанализировать с помощью KIRA

В KUMA есть возможность проанализировать с помощью Kaspersky Investigation & Response Assistant (далее KIRA) команду, на которую сработало корреляционное правило. Команда записывается в поле события, если нормализация настроена таким образом, чтобы команда попадала в поле события. Вы можете просмотреть команду в карточке события или карточке корреляционного события и нажать Проанализировать с помощью KIRA в верхней части карточки события, чтобы отправить запрос в KIRA. KIRA выполнит деобфускацию и покажет результат предыдущего запроса по команде из кеша, если такой запрос был выполнен ранее. Эта функция помогает расследовать алерты и инциденты. Результаты анализа хранятся в кеше в течение 14 дней и доступны для повторного просмотра. Каждый раз при отправке запроса создается событие аудита.

Функция доступна в регионе RU при следующих условиях:

• Наличие активной лицензии с модулем AI.

  Если срок лицензии истек, результаты анализа будут доступны через задачи в течение срока жизни кеша, то есть в течение 14 дней с момента попадания результатов в кеш

• При настройке интеграции с KIRA загружен сертификат. Файл сертификата в формате PFX, запакованный в архив <имя заказчика>.ZIP, и пароль к сертификату, можно получить у сотрудников технической поддержки.
• Пользователю назначена одна из ролей с правами доступа: Главный администратор, Администратор, Аналитик 2-го уровня, Аналитик 1-го уровня, Младший аналитик. Настройка интеграции доступна только пользователю с ролью Главный администратор.

Настройка интеграции с KIRA

Чтобы настроить интеграцию с KIRA:

1. Получите лицензию с модулем AI и активируйте в KUMA.
2. В веб-консоли KUMA перейдите в раздел Параметры → AI-сервисы и в открывшемся окне AI-сервисы перейдите на вкладку KIRA.
3. На вкладке KIRA в раскрывающемся списке Сертификат нажмите Выбрать файл и загрузите файл с сертификатом в формате PFX, запакованный в архив <имя заказчика>.ZIP.
4. В поле Пароль от сертификата укажите пароль.
5. При необходимости в раскрывающемся списке Прокси-сервер выберите ранее созданный ресурс или создайте новый.
6. Нажмите Сохранить.

   После того как вы нажмете Сохранить, вам будет предложено принять условия соглашения по использованию сервиса. Если вы не примете соглашение, будет невозможно продолжить сохранение параметров и работу с функциональностью.

   После сохранения параметров будет показано доступное количество токенов. Лимит обновляется ежедневно.

   Если вы хотите выключить функцию, переведите переключатель Выключить в активное положение.

Интеграция настроена, можно переходить к анализу. Анализ доступен для всех событий, новых и уже полученных.

Выполнение анализа с помощью KIRA

После того как интеграция настроена, можно выполнить анализ команды с помощью KIRA.

Чтобы выполнить анализ:

1. Перейдите в карточку события или корреляционного события и на панели инструментов в карточке события в раскрывающемся списке Проанализировать с помощью KIRA выберите поле, значение которого вы хотите проанализировать.

   Откроется окно Проанализировать с помощью KIRA.

2. В открывшемся окне Проанализировать с помощью KIRA отобразится команда для анализа. Доступны следующие возможности:
   • Если команда обфусцирована, деобфускация будет выполнена автоматически без расхода токенов. Если вы хотите проанализировать команду в обфусцированном виде, в раскрывающемся списке Действия выберите Вернуть исходную строку. При необходимости вы можете деобфусцировать строку снова.
   • Если вы хотите предварительно определить количество токенов, которые будут затрачены на анализ, в раскрывающемся списке Действия выберите Рассчитать размер в токенах. Количество токенов для анализа = количество токенов на отправку запроса + количество токенов на ответ.
   • Чтобы проанализировать команду, нажмите кнопку Проанализировать.

     Если достаточно токенов, запустится выполнение анализа и задача Запрос в KIRA.

     Выполнение запроса может занимать от 30 секунд и дольше.

     Расход токенов осуществляется, даже если получен ответ с ошибкой о том, что запрашиваемая тема находится в запрещенном списке, при этом сведения о доступном остатке токенов тоже будут обновлены.

Анализ команды выполнен.

Результат анализа доступен в том же окне Проанализировать с помощью KIRA: вывод, краткое содержание и развернутый анализ. Также вы можете просмотреть результат в отдельном окне, если нажмете Посмотреть результат на всплывающем уведомлении. Откроется отдельное окно Результат KIRA, из которого можно Перейти к событию по ссылке. После выполнения анализа Результат будет отображаться в карточке события на вкладке Анализ KIRA и будет доступен для просмотра всем пользователям с доступом к функциональности Проанализировать с помощью KIRA.

Также вы можете просмотреть результат анализа в разделе Диспетчер задач в свойствах задачи Запрос в KIRA. Если вы нажмете на название задачи, в контекстном меню будут доступны следующие действия:

• Посмотреть результат - в этом случае любой пользователь с доступом к задачам KIRA может просмотреть результаты выполнения задачи из кэша и токены не будут потрачены.
• Перезапустить - в этом случае анализ будет выполнен без учета данных предыдущего анализа, хранящихся в кеше, и токены будут потрачены на выполнение анализа.

Возможные ошибки задачи Проанализировать с помощью KIRA

Возможные ошибки