Настройка интеграции с RT Protect EDR

Платформа Радар позволяет настроить несколько независимых интеграций с системой RT Protect EDR. Например, если используется несколько управляющих серверов системы RT Protect EDR с разным списком подчиненных активов, то для каждого управляющего сервера нужно создать интеграцию с соответствующими настройками.

Все действия над интеграциями выполняются в разделе Параметры → Интеграции.

Общие приемы работы с интеграциями рассмотрены в разделе Интеграции.

Перед выполнением настройки интеграции с RT Protect EDR выполните следующие действия:

1. Активируйте тип интеграции RT Protect EDR. Подробнее см. раздел Типы интеграций.
2. Настройте EDR действия. Подробнее см. раздел EDR действия.

Процесс настройки интеграции с RT Protect EDR включает в себя следующие шаги:

• Шаг 1. Создание интеграции;
• Шаг 2. Создание задачи синхронизации активов;
• Шаг 3. Настройка активных действий интеграции;
• Шаг 4. Активация интеграции.

Шаг 1. Создание интеграции с RT Protect EDR

1. Перейдите в раздел Параметры → Интеграции.

2. Нажмите кнопку Создать. Откроется окно "Создание интеграции" (см. рисунок 1).

   

   Рисунок 1 – Создание интеграции с RT Protect EDR

3. Укажите в окне следующую информацию:

   • Название интеграции – укажите наименование интеграции;
   • Тип интеграции – из выпадающего списка выберите значение "RT Protect EDR". Поля формы автоматически изменятся для настройки выбранного типа интеграции;
   • Адрес API сервера – укажите IP-адрес на котором располагается API сервер RT Protect EDR;
   • Токен аутентификации – укажите токен, полученный в системе RT Protect EDR;
   • Логин – укажите логин для доступа к API серверу;
   • Пароль – укажите пароль для доступа к API серверу;
   • Порт – укажите порт, по которому выполняется подключение к API серверу;
   • Использовать задание синхронизации – установите переключатель в положения Включен для активации периодических задач синхронизации активов и инцидентов;
   • Использовать активные действия интеграции – установите переключатель в положения Включен для активации возможности использования активных действий.

4. Нажмите кнопку Проверить. Будет выполнена проверка подключения к API серверу.

5. Нажмите кнопку Сохранить. Сохранение интеграции будет доступно только после успешной проверки соединения с API сервером.

Шаг 2. Настройка задачи синхронизации активов

1. Откройте интеграцию на редактирование (кнопка ).

2. Перейдите на вкладку "Задачи интеграции" (см. рисунок 2).

   

   Рисунок 2 – Настройка интеграции. Задачи интеграции

3. Нажмите кнопку Добавить задачу. Откроется окно "Добавить задачу" (см. рисунок 3).

   

   Рисунок 3 – Окно "Добавить задачу"

4. Укажите в окне следующую информацию:

   • Название – укажите название периодической задачи;
   • Cron – укажите CRON-выражение, описывающее периодичность задачи. Подсказу по CRON-выражениям см. на сайте;
   • Состояние – включите выполнение задачи синхронизации активов, установив переключатель в положение "Включен";
   • Задача интеграции – из выпадающего списка выберите задачу "Синхронизация активов".

5. Нажмите кнопку Сохранить.

6. Журнал выполнения задачи можно посмотреть в разделе Администрирование → Кластер → вкладка Планировщик задач.

Шаг 3. Настройка активных действий для интеграции

1. Откройте интеграцию на редактирование (кнопка ).

2. Перейдите на вкладку "Команды интеграции" (см. рисунок 4).

   

   Рисунок 4 – Настройка интеграции. Команды интеграции

3. В графе Статус включите необходимые действия, которые будут доступны при выявлении инцидентов на активах.

Шаг 4. Активация интеграции

Чтобы по интеграции выполнялось взаимодействие с системой RT Protect EDR, ее необходимо активировать.

Для активации интеграции перейдите в раздел Параметры → Интеграции и в колонке Статус установите переключатель в положение "Включен".