Kaspersky MLAD: создание активов

1. Описание задачи

Kaspersky MLAD позволяет пользователю создавать дерево активов для своего проекта как вручную через веб-интерфейс программы, так и автоматизировано путем ипорта файла активов.

Данный документ описывает процесс ~~настройки~~создания/изменения активов в Kaspersky MLAD при помощи ~~для интеграции с~~ Excel~~KUMA~~ ~~по протоколу~~ ~~Syslog~~.-таблиц.

Цель ~~данной~~использования ~~интеграции~~данного инструмента – ~~обеспечить~~ускорить ~~передачу~~и ~~событий~~упростить ~~безопасности~~процесс изсоздания или изменения активов в Kaspersky MLAD в ~~SIEM~~ ~~систему для обеспечения мер информационной безопасности в инфраструктуре клиента.~~.

Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции.

2. Реализация задачи

Первым шагом необходимо ~~настроить~~ ~~CEF-коннектор~~ в ~~составе~~ ~~Kaspersky~~ MLAD ~~на передачу событий безопасности в~~ ~~SIEM-систему.~~

~~Для этого перейдите~~перейти в Меню администратора, затем в ~~Системные~~Активы. ~~параметры~~,Нажмите ~~затем~~кнопку Экспортировать Активы и теги в ~~настройки~~файл ~~CEF~~~~-коннектора~~XLSX.

~~Здесь вам необходимо активировать переключатель~~ ~~Отправлять журналы событий информационной безопасности на~~ ~~Syslog~~~~-сервер~~~~, указать тип транспорта (TCP~~ ~~или~~ ~~UDP), указать адрес и порт~~ ~~Syslog-сервера. Если вы планируете использовать защищенное~~ ~~TLS-соединение, то вам необходимо также загрузить сертификат/закрытый ключ клиента и~~ CA~~-сертификат для верификации серверной стороны.~~

Будет скачан файл ~~После~~mlad_structure.xlsx. ~~этого~~Откройте ~~перейдите~~его в ~~основное~~MS ~~меню,~~Excel. ~~далее~~В появившемся уведомлении нажмите Да.

Во вкладке directory_types отображаются существующие типы активов. Здесь же можно создать собственные типы активов. Описания полей можно увидеть, наведя мышку на название столбца. Ниже на скриншоте показан процесс добавления двух новых типов активов.

В поле directory_type укажите название нового типа активов. Поля parameter_label являются не обязательными для заполнения, в ~~Службы,~~них ~~затем~~вы можете указать опциональные параметры, которые будут иметь все активы данного типа (например, год выпуска, или рабочее напряжение). В поле description можно задать краткое описание для данного типа активов. Поле directory_type_id не заполняется вручную.

Во вкладке directories можно создать или изменить активы. Ниже на скриншоте показан процесс добавления двух новых активов на основе созданных типов активов:

В поле directory_type выберите тип создаваемого актива. В поле directory_type_row укажите номер строки, который этот тип имеет во вкладке directory_types (несмотря на то, что в описании столбца указано «не заполнять»). В нашем случае это строки 9 и 10.

В поле directory_name укажите название нового актива.

В поле parent необходимо выбрать имя родителя. Если наш актив располагается в корне дерева, то родителя указывать не нужно. В противном случае просто скопируйте имя нужного актива из столбца directory_name. Если ваш актив находится глубже в структуре дерева, то необходимо здесь указать путь до родительского актива в формате «Родитель 1; Родитель 2; …; Непосредственный родитель». Если в выпадающем списке нужных родителей нет, удалите выпадающий список и заполните поле вручную.

В поле parent необходимо указать номер строки родителя из этой же вкладки (несмотря на то, что в описании столбца указано «не заполнять»). В примере выше, если родителем является Станция 1, то нужно указать его номер строки – 23.

Поля directory_id и parent_id вручную заполнять не нужно.

Во вкладке tags создаются новые или редактируются существующие теги. На скриншоте ниже показан пример создания трех новых тегов (new_tag_1, new_tag_2, new_tag_3).

В столбце tag_id необходимо продолжить нумерацию после последнего существующего тега для всех новых тегов (несмотря на то, что в описании столбца указано «не заполнять»). Нумерация не обязательно должна быть непрерывной, вы можете задавать id по своему усмотрению, но у каждого тега в активах MLAD должен быть свой уникальный id.

В поле tag_description указывается описание / проектное наименование тега, с которым он потом будет отображаться в инструментах MLAD.

В поле parent необходимо указать путь до родительского актива по тому же принципу, как мы уже сделали это во вкладке directories.

В поле parent_row укажите номер строки родительского актива во вкладке directories (несмотря на то, что в описании столбца указано «не заполнять»). В нашем случае это строки 24 и 25.

Поле parent_id вручную заполнять не нужно.

Остальные поля заполняются по желанию / необходимости.

После заполнения файла сохраните его и вернитесь в MLAD в раздел ~~Коннекторы~~~~. Запустите службу~~ ~~CEF~~ ~~connector~~~~, или перезапустите ее, если вы вносили изменения в настройки.~~активов.

Нажмите кнопку Импортировать активы и теги из файла НаXLSX. ~~этом настройка со стороны~~ ~~MLAD~~ ~~закончена.~~

В ~~KUMA~~появившемся ~~перейдите~~окне ввыберите ~~раздел~~ваш ~~Ресурсы~~,файл ~~затем~~с ~~Коллекторы~~.активами для загрузки остальные настройки как показано на скриншоте ниже:

~~В состав поставки~~ ~~KUMA~~ ~~входит предварительно настроенный коллектор~~ [~~OOTB~~] ~~Syslog~~ ~~CEF~~. Создайте копию на основе данного коллектора и перейдите в его настройки. Основные настройки подключения задаются на вкладке ~~Транспорт~~.

~~Укажите тип протокола, интерфейс и порт, на котором~~ ~~KUMA~~ ~~будет принимать подключение по~~ ~~Syslog. Убедитесь, что настройки подключения в~~ ~~MLAD~~ ~~совпадают с настройками в данной вкладке.~~

~~Настройки остальных вкладок не влияют на прием сообщений~~ ~~Syslog. Во вкладке~~ ~~Парсинг событий~~ ~~вы можете настроить, как будут парситься события~~ ~~Syslog, полученные от~~ ~~MLAD~~. Для этого вам предварительно необходимо создать соответствующий парсер. Процесс создания и настройки парсера описан в документации на ~~KUMA, и в данном документе не затрагивается,~~

После ~~завершения настройки вам сначала будет необходимо будет создать соответствующий сервис.~~

~~Для этого необходимо выполнить предложенную команду (через~~ ~~sudo) на машине с~~ ~~KUMA.~~

~~Если сервис уже существует, то после завершения настройки перейдите во вкладку~~ ~~Проверка параметров~~ ичего нажмите кнопку Сохранить. Если импорт прошел успешно, появится зеленая плашка с соответствующим уведомлением, и ~~перезапустить~~в ~~сервисы~~.вашем дереве активов появятся новые активы и теги.

Данные теги доступны для использования во всех инструментах ~~Перейдите~~MLAD, в ~~раздел~~том ~~Активные~~числе ~~сервисы~~в моделях, разметках и ~~убедитесь, что ваш сервис коллектора~~ ~~Syslog~~ ~~запущен.~~коннекторах.

~~Вернитесь в~~ ~~MLAD~~ ~~и произведите какое-нибудь системное действие, например, выйдите и снова войдите в систему.~~

~~Далее выберите свой активный сервис в~~ ~~KUMA~~ ~~и нажмите кнопку~~ ~~Перейти к событиям.~~

C~~делайте дефолтный~~ ~~SQL-запрос. Вы увидите в списке событие безопасности от~~ ~~MLAD~~.