English version below
Данный скрипт и набор ресурсов позволяют автоматически на основании информации из событий (ip-адреса, доменные имена) создавать активы в KUMA
python 3.6+
- urllib
- argparse
- json
- requests
- os
KUMA 3.0.x
- Поместите файлы
asset-import.py
,kumaPublicApiV1.py
,params.json
на сервер коррелятора в папку scripts: /opt/kaspersky/kuma/correlator/id
/scripts
id
коррелятора можно получить из веб-интерфейса KUMA: Ресурсы -> Активные сервисы -> Выбрать галочкой коррелятор и в верхнем меню Копировать идентификатор сервиса
. Идентификатор будет скопирован в буфер обмена.
- Внесите изменения в файл
params.json
:
- kumaAddress - укажите ip-адрес сервера ядра KUMA
- kumaAPIPort - укажите API-порт ядра KUMA (значение по умолчанию
7223
, если сомневаетесь - оставьте без изменений) - kumaToken - токен для работы с API с правами
POST /assets/import
- Измените владельца файлов на kuma:
chown kuma:kuma asset-import.py kumaPublicApiV1.py params.json
- Разрешите запуск файла
asset-import.py
:
chmod +x asset-import.py
-
Импортируйте все ресурсы из файла
auto_asset_add
(Пароль импорта: Qwerty123!) -
Если нужно, внесите изменения в фильтры
org address filter
иorg hostname filter
, указав домены и подсети вашей организации, по ним отбираются активы из событий для импорта. -
Привяжите все правила корреляции
Auto import asset info (src/dst/dvc)
к коррелятору -
Привяжите правило реагирования
Auto asset import
-
Обновите параметры сервиса коррелятора
В результате проделанных манипуляций в KUMA будут создаваться активы на основании информации, получаемой из событий.
This script and resources automatically import host info (ip-addresses and fqdns) from events to Assets in KUMA
python 3.6+
- urllib
- argparse
- json
- requests
- os
KUMA 3.0.2
- Move
asset-import.py
,kumaPublicApiV1.py
,params.json
to scripts correlator folder: /opt/kaspersky/kuma/correlator/id
/scripts
id
of correlator can be found in KUMA Web UI: Resources -> Active Services -> Select correlator checkbox and choose Copy service ID
- Edit
params.json
file:
- kumaAddress - IP address (or FQDN) of KUMA Core server
- kumaAPIPort - KUMA Core API port (by default
7223
) - kumaToken - API Token with
POST /assets/import
API rights
- Change owner of files to kuma:
chown kuma:kuma asset-import.py kumaPublicApiV1.py params.json
- Make file
asset-import.py
executable:
chmod +x asset-import.py
-
Import all resources from file
auto_asset_add
(Passphrase: Qwerty123!) -
If needed edit filters
org address filter
andorg hostname filter
with your org parameters (domain, subnets) -
Link correlation rules
Auto import asset info (src/dst/dvc)
to correlator -
Link response rule
Auto asset import
-
Reload correlator