Настройка отображения ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации о событии KUMA

При получении обнаружений Kaspersky Endpoint Detection and Response в KUMA создается алерт для каждого обнаружения. Вы можете настроить отображение ссылки на обнаружение Kaspersky Endpoint Detection and Response в информации об алерте KUMA.

Вы можете настроить отображение ссылки на обнаружение, если используете только один сервер Central Node Kaspersky Endpoint Detection and Response. Если Kaspersky Endpoint Detection and Response используется в режиме распределенного решения, настроить отображение ссылок в KUMA на обнаружения Kaspersky Endpoint Detection and Response невозможно.

Для настройки отображения ссылки на обнаружение в информации об алерте KUMA вам требуется выполнить действия в веб-интерфейсе Kaspersky Endpoint Detection and Response и KUMA.

В веб-интерфейсе Kaspersky Endpoint Detection and Response вам нужно настроить интеграцию программы с KUMA в качестве SIEM-системы. Подробнее о том, как настроить интеграцию, см. в справке Kaspersky Anti Targeted Attack Platform в разделе Настройка интеграции с SIEM-системой.

Настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

1. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории.
2. Создание правила корреляции.
3. Создание коррелятора.

Вы можете использовать преднастроенное корреляционное правило. В этом случае настройка отображения ссылки в веб-интерфейсе KUMA включает следующие этапы:

1. Создание коррелятора.

   В качестве правила корреляции вам нужно выбрать правило [OOTB] KATA Alert.

2. Добавление актива, содержащего информацию о сервере Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения, и назначение этому активу категории КАТА standAlone.

Шаг 1. Добавление актива и назначение ему категории

Предварительно вам нужно создать категорию, которая будет назначена добавляемому активу.

Чтобы добавить категорию:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. На вкладке Все активы разверните список категорий тенанта, нажав на кнопку рядом с его названием.
3. Выберите требуемую категорию или подкатегорию и нажмите на кнопку Добавить категорию.

   В правой части окна веб-интерфейса отобразится область деталей Добавить категорию.

4. Укажите параметры категории:
   1. В поле Название введите название категории.
   2. В поле Родительская категория укажите место категории в дереве категорий. Для этого нажмите на кнопку и выберите родительскую категорию для создаваемой вами категории.

      Выбранная категория отобразится в поле Родительская категория.

   3. При необходимости укажите значения для следующих параметров:
      • Назначьте уровень важности категории в раскрывающемся списке Уровень важности.

        Указанный уровень важности присваивается корреляционным событиям и алертам, связанным с этим активом.

      • При необходимости в поле Описание добавьте описание категории.
      • В раскрывающемся списке Способ категоризации выберите, как категория будет пополняться активами. В зависимости от выбора может потребоваться указать дополнительные параметры:
        • Вручную – активы можно привязать к категории только вручную.
        • Активно – активы будут с определенной периодичностью привязываться к категории, если удовлетворяют заданному фильтру.
          1. В раскрывающемся списке Регулярность категоризации укажите периодичность, с которой активы будут привязываться к категории. Можно выбрать значения от одного раза в час до одного раза в сутки.

             Категоризацию можно запустить принудительно, выбрав в контекстном меню категории Начать категоризацию.

          2. В блоке параметров Условия укажите фильтр, которому должны соответствовать активы для привязывания к категории.

             Условия можно добавлять с помощью кнопок Добавить условие. Группы условий можно добавлять с помощью кнопок Добавить группу. Групповые операторы можно переключать между значениями И, ИЛИ, НЕ.

             Операнды и операторы фильтра категоризации

             Операнд	Операторы	Комментарий
             Номер сборки	=, ilike
             ОС	=, ilike	Оператор ilike обеспечивает регистронезависимый поиск.
             IP-адрес	inSubnet, inRange	IP-адрес указывается в нотации CIDR (например: 192.168.0.0/24). При выборе оператора inRange допускается указывать только адреса из частных диапазонов IP-адресов (например: 10.0.0.0-10.255.255.255). Оба адреса должны быть из одного диапазона.
             Полное доменное имя	=, ilike	Оператор ilike обеспечивает регистронезависимый поиск.
             CVE	=, in	Оператор in позволяет указать массив идентификаторов CVE (Common Vulnerabilities and Exposures).
             CVSS	>, >=, =, <=,<	Уровень критичности уязвимостей CVE на активе. Возможные значения параметра CVSS – от 0 до 10. Для уязвимостей из Kaspersky Security Center неприменимо.
             Количество CVE	>, >=, =, <=, <	Количество уникальных уязвимостей с признаком CVE на активе. Уязвимости без CVE не учитываются. Для категоризации по количеству CVE с определенным уровнем критичности используется комбинированное условие. Например: Количество CVE >= 1 И CVSS >= 6.5
             ПО	=, ilike	Категоризация по ПО, установленному на активе. Оператор ilike обеспечивает регистронезависимый поиск.
             Версия ПО	=, ilike, in	Категоризация по номеру версии (сборки) ПО, установленного на активе. Оператор ilike обеспечивает регистронезависимый поиск.
             КИИ	in	Можно выбрать более одного значения.
             Группа KSC	=, ilike	Категоризация по названию группы администрирования Kaspersky Security Center, в которую помещен актив.
             Последнее обновление антивирусных баз	>=,<=	Для выполнения категоризации время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере. Вы можете указать дату и время для этого операнда одним из следующих способов: Выбрать точную дату в календаре. Выбрать период относительно настоящего времени в списке Относительный период. Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов. Подробнее см. ниже в подразделе Использование временных значений. Использование относительного периода при регулярной категоризации учитывает актуальную на момент запуска категоризации информацию об активах.
             Последнее обновление информации	>=,<=	Для выполнения категоризации время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере. Вы можете указать дату и время для этого операнда одним из следующих способов: Выбрать точную дату в календаре. Выбрать период относительно настоящего времени в списке Относительный период. Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов. Подробнее см. ниже в подразделе Использование временных значений. Использование относительного периода при регулярной категоризации учитывает актуальную на момент запуска категоризации информацию об активах.
             Последнее обновление защиты	>=,<=	Для выполнения категоризации время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере. Вы можете указать дату и время для этого операнда одним из следующих способов: Выбрать точную дату в календаре. Выбрать период относительно настоящего времени в списке Относительный период. Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов. Подробнее см. ниже в подразделе Использование временных значений. Использование относительного периода при регулярной категоризации учитывает актуальную на момент запуска категоризации информацию об активах.
             Время начала последней сессии	>=,<=	Для выполнения категоризации время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере. Вы можете указать дату и время для этого операнда одним из следующих способов: Выбрать точную дату в календаре. Выбрать период относительно настоящего времени в списке Относительный период. Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов. Подробнее см. ниже в подразделе Использование временных значений. Использование относительного периода при регулярной категоризации учитывает актуальную на момент запуска категоризации информацию об активах.
             Расширенный статус KSC	in	Расширенный статус устройства. Можно выбрать более одного значения.
             Статус постоянной защиты	=	Статус приложений "Лаборатории Касперского", установленных на управляемом устройстве.
             Статус шифрования	=
             Статус защиты от спама	=
             Статус антивирусной защиты почтовых серверов	=
             Статус защиты данных от утечек	=
             Идентификатор расширенного статуса KSC	=
             Статус Endpoint Sensor	=
             Последнее появление в сети	>=,<=	Для выполнения категоризации время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере. Вы можете указать дату и время для этого операнда одним из следующих способов: Выбрать точную дату в календаре. Выбрать период относительно настоящего времени в списке Относительный период. Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов. Подробнее см. ниже в подразделе Использование временных значений. Использование относительного периода при регулярной категоризации учитывает актуальную на момент запуска категоризации информацию об активах.
             Рейтинг AI	>,>=,=,<=,<	Категоризация по рейтингам активов, присвоенным AI-сервисами.
             Статус	=, in	Категоризация по предустановленным статусам актива, присвоенным AI-сервисами.
             Настраиваемое поле актива	=, ilike	Категоризация по значениям настраиваемых полей активов.

             Использование временных значений

             Некоторые условия, например, Последнее обновление антивирусных баз или Время начала последней сессии, используют дату и время в качестве значения операнда. Для этих условий вы можете использовать точные дату и время или относительный период.

             Чтобы указать значение даты и времени:

             1. Выберите необходимый операнд, оператор и нажмите на поле даты.
             2. Выполните одно из следующих действий:
                • В календаре выберите точную дату.

                  По умолчанию к выбранной дате будет автоматически добавлено текущее время с точностью до миллисекунд. При изменении даты в календаре указанное время не меняется. Дата и время отображаются в соответствии с часовым поясом браузера. При необходимости вы можете изменить дату и время в поле вручную.

                • В списке Относительный период выберите относительный период.

                  Период рассчитывается относительно текущего времени запуска категоризации и учитывает актуальную на этот момент информацию об активах. Например, для условия Последнее обновление антивирусных баз вы можете выбрать значение 1 час и оператор >=, чтобы регулярно привязывать к категории активы, для которых антивирусные базы не обновлялись более 1 часа до запуска категоризации.

                • В поле даты и времени введите значение вручную.

                  Вы можете указать точные дату и время в формате DD.MM.YYYY HH:mm:ss.SSS для русской локализации и YYYY-MM-DD HH:mm:ss.SSS для английской локализации или относительный период в виде формулы. При необходимости вы также можете комбинировать эти способы.

                  Если при вводе точной даты вы не указали миллисекунды, значение 000 подставляется автоматически.

                  В формулах относительного периода используйте параметр now для обозначения текущих даты и времени и язык параметризации интервалов: символы +, -, / (округление до ближайшего), а также единицы изменения времени y (год), M (месяц), w (неделя), d (день), h (час), m (минута), s (секунда).

                  Например, для условия Последнее обновление информации вы можете указать значение now-2d с оператором >= и значение now-1d с оператором >=, чтобы регулярно привязывать к категории активы, информация о которых обновилась за сутки до запуска категоризации; или указать значение now/w с оператором <=, чтобы регулярно привязывать к категории активы, информация о которых обновилась с начала первого дня текущей недели (00:00:00:000 в UTC) до текущего времени now.

                  Время в KUMA хранится в UTC, но в интерфейсе оно конвертируется в соответствии с часовым поясом вашего браузера. Это нужно учитывать для относительных периодов Сегодня, Вчера, Эта неделя и Этот месяц. Например, если в браузере установлен часовой пояс UTC+3 и вы выбрали период Сегодня, в категорию будут попадать активы за период с 03:00:00.000 до текущего времени, а не с 00:00:00.000.

                  Если при выборе относительного периода Сегодня, Вчера, Эта неделя или Этот месяц вы хотите при категоризации учитывать ваш часовой пояс, вам нужно вручную добавить сдвиг по времени в поле даты и времени, прибавив или убавив необходимое количество часов. Например, если в браузере установлен часовой пояс UTC+3 и вы хотите при категоризации учитывать период Вчера, вам нужно изменить значение на now-1d/d-3h. Если же вы хотите при категоризации учитывать период Сегодня – на now/d-3h.

          3. С помощью кнопки Проверить условия убедитесь, что указанный фильтр верен: при нажатии на кнопку отображается окно Активы, найденные по заданным условиям с перечнем активов, удовлетворяющих условиям поиска.
        • Реактивно – категория будет наполняться активами с помощью правил корреляции.
5. Нажмите на кнопку Сохранить.

Чтобы добавить актив:

1. В веб-интерфейсе KUMA выберите раздел Активы.
2. Нажмите на кнопку Добавить актив.

   В правой части окна откроется область деталей Добавить актив.

3. Укажите следующие параметры актива:
   1. В поле Название актива введите имя актива.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать актив.
   3. В поле IP-адрес укажите IP-адрес сервера Central Node Kaspersky Endpoint Detection and Response, с которого вы хотите получать обнаружения.
   4. В поле Категории выберите категорию, которую добавили на предыдущем этапе.

      Если вы используете предустановленное корреляционное правило, вам нужно выбрать категорию КАТА standAlone.

   5. При необходимости укажите значения для следующих полей:
      • В поле Полное доменное имя укажите FQDN сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле MAC-адрес укажите MAC-адрес сервера Central Node Kaspersky Endpoint Detection and Response.
      • В поле Владелец укажите имя владельца актива.
4. Нажмите на кнопку Сохранить.

Шаг 2. Добавление правила корреляции

Чтобы добавить правило корреляции:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. Выберите Правила корреляции и нажмите на кнопку Создать правило корреляции.
3. На вкладке Общие укажите следующие параметры:
   1. В поле Название укажите название правила.
   2. В раскрывающемся списке Тип выберите simple.
   3. В поле Наследуемые поля добавьте следующие поля: DeviceProduct, DeviceAddress, EventOutcome, SourceAssetID, DeviceAssetID.
   4. При необходимости укажите значения для следующих полей:
      • В поле Частота срабатывания укажите максимальное количество срабатываний правила в секунду.
      • В поле Уровень важности укажите уровень важности алертов и корреляционных событий, которые будут созданы в результате срабатывания правила.
      • В поле Описание укажите любую дополнительную информацию.
4. На вкладке Селекторы → Параметры укажите следующие параметры:
   1. В раскрывающемся списке Фильтр выберите Создать.
   2. В поле Условия нажмите на кнопку Добавить группу.
   3. В поле с оператором для добавленной группы выберите И.
   4. Добавьте условие для фильтрации по значению KATA:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите Поля события.
      4. В поле Поля события выберите DeviceProduct.
      5. В поле Оператор выберите =.
      6. В поле Правый операнд выберите Константа.
      7. В поле значение введите KATA.
   5. Добавьте условие для фильтрации по категории:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите Поля события.
      4. В поле Поля события выберите DeviceAssetID.
      5. В поле Оператор выберите inCategory.
      6. В поле Правый операнд выберите Константа.
      7. Нажмите на кнопку .
      8. Выберите категорию, в которую вы поместили актив сервера Central Node Kaspersky Endpoint Detection and Response.
      9. Нажмите на кнопку Сохранить.
   6. В поле Условия нажмите на кнопку Добавить группу.
   7. В поле с оператором для добавленной группы выберите ИЛИ.
   8. Добавьте условие для фильтрации по идентификатору класса события:
      1. В поле Условия нажмите на кнопку Добавить условие.
      2. В поле с условием выберите Если.
      3. В поле Левый операнд выберите Поля события.
      4. В поле Поля события выберите DeviceEventClassID.
      5. В поле Оператор выберите =.
      6. В поле Правый операнд выберите Константа.
      7. В поле Значение введите taaScanning.
   9. Повторите шаги 1–7 пункта f для каждого из следующих идентификаторов классов событий:
      • file_web.
      • file_mail.
      • file_endpoint.
      • file_external.
      • ids.
      • url_web.
      • url_mail.
      • dns.
      • iocScanningEP.
      • yaraScanningEP.
5. На вкладке Действия укажите следующие параметры:
   1. В разделе Действия откройте раскрывающийся список На каждом событии.
   2. Установите флажок Отправить на дальнейшую обработку.
   3. В разделе Обогащение нажмите на кнопку Добавить обогащение.
   4. В раскрывающемся списке Тип источника данных выберите Шаблон.
   5. В поле Шаблон введите https://{{.DeviceAddress}}:8443/katap/#/alerts?id={{.EventOutcome}}.
   6. В раскрывающемся списке Целевое поле выберите DeviceExternalID.
   7. При необходимости переведите переключатель Отладка в активное положение, чтобы зарегистрировать информацию, связанную с работой ресурса, в журнал.
6. Нажмите на кнопку Сохранить.

Шаг 3. Создание коррелятора

Вам нужно запустить мастер установки коррелятора. На шаге 3 мастера вам требуется выбрать правило корреляции, добавленное при выполнении этой инструкции.

После завершения создания коррелятора в информации об алертах, созданных при получении обнаружений из Kaspersky Endpoint Detection and Response, будет отображаться ссылка на эти обнаружения. Ссылка отображается в информации о корреляционном событии (раздел Связанные события), в поле DeviceExternalID.

Если вы хотите, чтобы в поле DeviceHostName в информации об обнаружении отображался FQDN сервера Central Node Kaspersky Endpoint Detection and Response, вам нужно создать запись для этого сервера в системе DNS и на шаге 4 мастера создать правило обогащения с помощью DNS.