Обзор установки и интеграции
11 апреля 2024
ID 162415
В этом разделе описывается порядок установки и интеграции Kaspersky CyberTrace.
Введение
Kaspersky CyberTrace поддерживает интеграцию с множеством различных источников событий. Процедура установки и интеграции разделена на две части:
- Установка Kaspersky CyberTrace
Рекомендуется устанавливать Kaspersky CyberTrace с помощью одного из инсталляционных пакетов для используемой операционной системы. Для ОС Linux предоставляются пакеты DEB и RPM. Для ОС Windows предоставляется исполняемый файл установщика.
После установки Kaspersky CyberTrace можно выполнить первоначальную настройку с помощью соответствующего мастера в веб-интерфейсе Kaspersky CyberTrace. В ходе этого процесса необходимо выбрать источник событий, например, решение SIEM, задать для него параметры подключения и настроить обновления потоков данных об угрозах.
Если требуется использовать инкрементные версии Kaspersky Threat Data Feeds, необходимо включить их перед выполнением первоначальной настройки Kaspersky CyberTrace.
После завершения первоначальной настройки Kaspersky CyberTrace по умолчанию использует параметры для заданного источника событий. Например, по умолчанию Kaspersky CyberTrace выполняет парсинг входящих событий с помощью регулярных выражений, заданных для выбранного источника событий, и использует формат специальный для сообщений об обнаруженных киберугрозах. При необходимости указанные параметры можно впоследствии изменить.
- Интеграция Kaspersky CyberTrace с источником событий
В этой части источник событий настраивается таким образом, чтобы он мог отправлять свои события в Kaspersky CyberTrace и получать сообщения об обнаруженных киберугрозах от Kaspersky CyberTrace. В зависимости от выбранного источника событий также можно установить определенные приложения и инструменты, работающие с событиями Kaspersky CyberTrace. Например, Kaspersky CyberTrace предоставляет приложения для Splunk и QRadar, а также предварительно настроенную информационную панель для RSA NetWitness. Помимо приложений для определенных источников событий можно использовать утилиту LogScanner для отправки файлов журналов, IP-адресов, URL и хешей на проверку в Kaspersky CyberTrace.
Предварительные условия
Убедитесь, что сервер, предназначенный для работы Kaspersky CyberTrace, соответствует аппаратным и программным требованиям.
Убедитесь, что на сервере, на котором устанавливается Kaspersky CyberTrace, установлены точные значения даты и времени. Для получения точных значений даты и времени можно использовать NTP-сервер.
Для продуктов ArcSight перед установкой Kaspersky CyberTrace необходимо установить ArcSight SmartConnector. Для получения дополнительной информации см. разделы Предварительные условия (ArcSight) и Руководство по интеграции (ArcSight).
Часть 1. Установка Kaspersky CyberTrace
При установке Kaspersky CyberTrace устанавливаются и настраиваются все компоненты, необходимые для работы с потоками данных об угрозах, такие как Kaspersky CyberTrace Service и Feed Utility.
Kaspersky CyberTrace можно установить на любом хосте, который может получать события от выбранного источника событий, например, от SIEM-решения, межсетевого экрана или прокси-сервера. При настройке Kaspersky CyberTrace во время установки задается способ получения и отправки событий.
Kaspersky CyberTrace обязательно должен устанавливаться в соответствии с выбранной схемой интеграции. Например, если Kaspersky CyberTrace и SIEM-решение требуется установить на разные серверы, проверьте доступные схемы интеграции для данного SIEM-решения, чтобы определить, где следует установить Kaspersky CyberTrace.
Установите Kaspersky CyberTrace в порядке, описанном в разделе, соответствующем используемой операционной системе:
После установки Kaspersky CyberTrace выполните следующие действия:
- Если требуется использовать разные потоки данных об угрозах Kaspersky Threat Data Feeds, включите их.
- Если не требуется использовать инкрементные версии потоков данных об угрозах Kaspersky Threat Data Feeds, откройте веб-интерфейс Kaspersky CyberTrace и следуйте указаниям мастера первоначальной настройки.
Часть 2. Интеграция Kaspersky CyberTrace с источником событий
Для автоматического обнаружения IoC в журналах событий безопасности Kaspersky CyberTrace должен быть интегрирован с источником событий. Это может быть либо автономный источник событий (например, межсетевой экран или прокси-сервер), либо решение SIEM. Этот источник событий отправляет события в Kaspersky CyberTrace, а Kaspersky CyberTrace в свою очередь отправляет сообщения об обнаруженных угрозах в SIEM или другое приложение в соответствии с заданными настройками.
Поддерживаются следующие SIEM-решения:
