Скрипт реагирования достает из алерта KUMA нужные поля и отправляет на локальный порт содержимое сообщения с форматированием (передача данных нужна для сохранения форматирования). Бот полученое сообщение отправляет в чат с пользователем, также возможна настройка, чтобы бот отправлял сообщение в определенный канал (но этот функционал не реализован). Бот позволяет закрывать алерты по кнопке, создавать резервную копию и выполнять команды ssh на KUMA.
- Необходим Python 3.7+
- Необходима библиотека (pyTelegramBotAPI), установка:
pip3 install pyTelegramBotAPI
Important
Для KUMA от 4.0 и выше поменяйте версию API (на v3) в переменных (kumaGetAlerts, kumaCloseAlerts, kumaServices, kumaBackup) в коде.
-
Разместите файлы
kuma_telebot.conf,kuma_telebot.py,send_alert_to_bot.shпо пути:/opt/kaspersky/kuma/correlator/<ID_CORRELATOR>/scripts/ -
Заполните файл конфигурации
kuma_telebot.conf -
Отредактируйте 8 строку файла
send_alert_to_bot.shдобавив значение<ID_CORRELATOR> -
Создайте правило реагирования которое запускает скрипт
send_alert_to_bot.shсо следующим аргументом:"{{.Timestamp}} | {{.Name}} | {{.DeviceHostName}} | {{.Message}} | {{.Tactic}} | {{.Technique}}"
-
Создайте службу запуска скрипта для бота сморти содержимое файла
bot-kuma.service, его нужно создать по пути/usr/lib/systemd/system/ -
Добавьте службу в автозапуск и запустите ее:
systemctl enable bot-kuma.service; systemctl start bot-kuma.service
Добавлен фунционал выгрузки отчетов из KUMA с помощью бота, добавлена новая кнопка по нажатию которой выгружается список сгенерированных отчетов, по нажатию в боте на строку с командой /report_<цифра> загружается конкретный отчет. Для доступа к отчетам используется приватное апи, для работы нужно создать УЗ пользователя с доступом в раздел с отчетами и заполнить логин и пароль в конфигурационном файле, пример: kumaUser = private-api kumaPassword = Pa$$w0rd!
Скриншот с нововведениями:
