Сервис интеграции KUMA и R-Vision SOARImage by vectorjuice on Freepik
Денис Загорулько

Сервис интеграции KUMA и R-Vision SOAR

/в /

В системах защиты информации, разрабатываемых нашей компанией, часто используются система сбора, хранения событий информационной безопасности (далее – ИБ) и выявления инцидентов ИБ (на базе программного обеспечения (далее – ПО) Kaspersky Unified Monitoring and Analysis Platform (далее – KUMA)) и система автоматизации реагирования на инциденты ИБ (на базе ПО R-Vision SOAR (далее – SOAR)).

При этом интеграция указанных систем «из коробки» не позволяет эффективно организовать обмен информацией между ними.

Поскольку к вопросу повышения эффективности взаимодействия указанных систем проявляют активный интерес коллеги из нашей страны и России, мы решили поделиться информацией о разработанном нами сервисе интеграции KUMA и SOAR (далее – Сервис).

KUMA анализирует события ИБ, поступающие от различных источников, с помощью правил корреляции. При поступлении события, удовлетворяющего условиям, описанным в правиле корреляции, в KUMA появляется алерт (тревога безопасности), представляющий собой «контейнер», в котором хранится связанная с этим событием информация: IP-адреса, имена хостов, учётные записи пользователей и т.д.

Основная проблема «коробочной» интеграции заключается в том, что KUMA передает в SOAR информацию о срабатывании правила корреляции и прикрепляет ссылку, перейдя по которой появляется возможность увидеть контекстную информацию об алерте в веб-интерфейсе KUMA.
В свою очередь, в веб-интерфейсе SOAR отображается ограниченное количество полей из KUMA.

Подобный сценарий предполагает большое количество ручной работы, так как карточку инцидента ИБ приходится заполнять вручную, скопировав контекстную информацию из алерта KUMA. Поскольку в SOAR поступает ограниченное количество полей из KUMA, не всегда есть возможность автоматизировать процесс реагирования на инциденты ИБ с помощью плейбуков.

Сервис написан на языке программирования Golang ввиду простоты и высокой производительности ресурсов, написанных на нем. Сервис функционирует в двух режимах: автоматическое получение событий в режиме реального времени (webhook) и периодический опрос.

В режиме webhook KUMA автоматически присылает алерты в Сервис, однако, если Сервис был недоступен в момент отправки события, то существует риск потери данных.

В режиме периодического опроса Сервис самостоятельно инициирует подключение к KUMA, запрашивает, получает и отправляет информацию об алертах в SOAR, обеспечивая гарантированную доставку данных.

В ходе тестирования Сервиса был обнаружен важный нюанс: правила сегментации алертов в KUMA позволяют менять их название и, если в настройках Сервиса указано получение событий по имени алерта, то поступающие данные в SOAR дублируются. Чтобы не допустить подобную ситуацию, в настройках Сервиса необходимо указать фильтрацию по идентификатору алерта KUMA (UUID). В алерт KUMA могут добавляться новые связанные события и для того, чтобы после очередного опроса данные в SOAR не дублировались, Сервис кэширует отправленные данные.

При тестировании Сервиса мы также столкнулись со следующим проблемным вопросом: в SOAR поступали все связанные с алертом события, кроме последнего. Это вызвано тем, что Сервис в режиме webhook получал события в момент, когда алерт не был заполнен всеми связанными событиями. Для устранения подобной ситуации Сервис был настроен таким образом, что отправка событий в SOAR осуществляется только после получения алерта, который дважды проверен Сервисом, и количество связанных с этим алертом событий не изменилось.

Для диагностики состояния Сервиса используется следующее:

  • health check – проверка статуса Сервиса, доступности API KUMA и SOAR;
  • статистика, отображающая количество алертов в KUMA и сохраненных в кэше Сервиса.

Сервис предоставляет возможность передачи всех возможных полей из карточки алерта KUMA в SOAR, благодаря чему специалист по ИБ автоматически получает заполненную карточку инцидента ИБ и появляется возможность в полной мере автоматизировать процесс реагирования на инциденты ИБ. Таким образом, Сервис, за счет устранения рутинных ручных операций, позволяет высвободить время специалиста по ИБ.

Резюмируя, можно сказать, что нативная интеграция KUMA и SOAR – хорошая отправная точка для автоматизации процесса отправки данных об инцидентах ИБ и реагирования на них.

Использование же разработанного нами Сервиса позволяет значительно повысить  качество и уровень автоматизации.

 

115
МультиТек Инжиниринг на IT-Security Conference-2026. ...МультиТек Инжиниринг на IT-Security-2026

Необходимые файлы cookie обеспечивают важные функции сайта, такие как безопасный вход и настройка предпочтений согласия. Они не хранят персональные данные.
Отсутствует
Функциональные файлы cookie поддерживают такие функции, как обмен контентом в соцсетях, сбор отзывов и использование сторонних инструментов.
Отсутствует
Аналитические файлы cookie отслеживают взаимодействия посетителей, предоставляя данные о таких метриках, как количество посетителей, показатель отказов и источники трафика.
Отсутствует
Рекламные файлы cookie показывают персонализированные объявления на основе ваших предыдущих посещений и анализируют эффективность рекламных кампаний.
Отсутствует