Неофициальный SDK для работы с MP SIEM через API.
В SDK используется как UI API, так и прямые вызовы к микросервисам вследствие того, что UI API имеет ряд ограничений.
Пример использования можно посмотреть в tests и examples.
R24.1.x - R27.2.x
- Unit-тесты для проверки совместимости с новыми версиями MP SIEM.
- Аутентификация с Core, KB, Storage.
- Журналирование и его настройка.
- Хранение параметров и передача модулям.
- Работа с активами
- Работа с событиями в Elasticsearch или API
- Работа с фильтрами событий.
- Работа с инцидентами.
- Работа с табличными списками.
- Работа с контентом в KB.
- Работа с задачами сбора.
- Работа со встроенным мониторингом SIEM.
- Работа со встроенным мониторингом источников.
- Работа с пользователями в IAM.
Для работы SDK необходимы следующие сетевые разрешения:
- MP Core: tcp 443, tcp 3334
- PT KB: tcp 8091
- Storage (Elastic): tcp 9200
SDK аутентифицируется в Core, PT KB, PT MC Ряд функций требует административной учетной записи в IAM, PT KB, SIEM.
Добавить переменные окружения:
- MP_CORE_HOSTNAME: IP/Hostname для доступа к MP CORE (без схемы http(s))
- MP_STORAGE_HOSTNAME: IP/Hostname для доступа к MP Storage (Elasticsearch) (без схемы http(s))
- MP_SIEM_HOSTNAME: IP/Hostname для доступа к MP SIEM Server (без схемы http(s))
- MP_LOGIN: учетная запись с ролью администратора в PT KB, IAM, SIEM
- MP_PASSWORD: пароль
- USE_LOCAL_AUTH: true
- CLIENT_SECRET: токен из MP SIEM
sudo grep ClientSecret /var/lib/deployer/role_instances/core*/params.yaml