О Kaspersky CyberTrace
11 апреля 2024
ID 162416
Добро пожаловать в документацию Kaspersky CyberTrace.
Что такое Kaspersky CyberTrace
Kaspersky CyberTrace — это платформа анализа киберугроз (Threat Intelligence Platform), обеспечивающая агрегацию индикаторов компрометации из различных источников, в том числе из потоков данных об угрозах Лаборатории Касперского, и интеграцию с решениями класса SIEM (Security Information and Event Management) для автоматического поиска индикаторов компрометации (IoC) в журналах событий безопасности и формирования уведомлений об инцидентах в рамках существующих процессов центра информационной безопасности организации.
Kaspersky CyberTrace использует регулярно обновляемые потоки данных об угрозах для актуализации используемой базы индикаторов компрометации с целью обнаружения угроз в журналах событий безопасности и информирования специалистов безопасности о рисках, связанных с той или иной угрозой.
Kaspersky CyberTrace поддерживает интеграцию с источниками данных об угрозах (потоки данных об угрозах от Kaspersky и других поставщиков, OSINT или пользовательские источники), решениями SIEM и источниками журналов событий безопасности. В случае обнаружения IoC в журналах событий безопасности Kaspersky CyberTrace автоматически отправляет в SIEM сообщение об обнаруженном индикаторе, вместе с дополнительной контекстной информацией. Платформа Kaspersky CyberTrace предоставляет аналитикам набор инструментов для классификации информационных сообщений и приоритезации реагирования на них посредством категоризации и дедупликации.
Kaspersky CyberTrace внутри корпоративной сети
Функциональные возможности Kaspersky CyberTrace:
- Автоматическое высокопроизводительное сопоставление входящих журналов и событий безопасности с потоками данных об угрозах Kaspersky Threat Data Feeds, потоками данных OSINT feed или любыми другими пользовательскими потоками данных об угрозах в наиболее популярных форматах (JSON, STIX, XML, CSV, MISP). Демонстрационные потоки данных об угрозах от Kaspersky и OSINT доступны по умолчанию.
- Внутренний процесс парсинга и сопоставления входящих событий с IoC на стороне Kaspersky CyberTrace значительно снижает нагрузку на SIEM-решение. Kaspersky CyberTrace выполняет парсинг входящих журналов и событий, сопоставляет полученные данные с потоками данных об угрозах и генерирует информационные сообщения при обнаружении киберугроз. Таким образом, на стороне SIEM-решения осуществляется обработка существенно меньшего объема данных.
- Генерируется статистика использования потоков данных об угрозах, что позволяет измерять их эффективность.
- Исследование угроз с помощью поиска конкретных индикаторов (хешей, IP-адресов, доменов, URL) по требованию, а также возможность ручной загрузки журнала событий безопасности с целью генерации отчета об обнаруженных IoC.
- Универсальный подход к интеграции возможностей сопоставления угроз с решениями SIEM и другими средствами контроля безопасности. Коннекторы SIEM для широкого спектра SIEM-решений позволяют визуализировать данные об обнаруженных киберугрозах и эффективно управлять ими.
- Данные об IoC вместе с контекстной информацией хранятся в оперативной памяти для быстрого доступа и фильтрации.
- Веб-интерфейс Kaspersky CyberTrace обеспечивает визуализацию данных, возможности поиска IoC по требованию и доступ к настройке Kaspersky CyberTrace. Веб-интерфейс Kaspersky CyberTrace также поддерживает управление потоками данных об угрозах, правилами парсинга журналов, пользовательскими данными о киберугрозах и списками ложных срабатываний, а также источниками событий.
- Интерфейс командной строки для платформ Windows и Linux.
- Расширенные возможности фильтрации потоков данных об угрозах и событий журнала. Потоки данных об угрозах можно конвертировать и фильтровать на основе широкого набора критериев, таких как время, популярность, географическое положение и тип угрозы. События журнала можно фильтровать на основе пользовательских условий.
- Поддержка частичного развертывания в демилитаризованной зоне (DMZ). Сервер, на котором выполняется сопоставление данных о событиях с потоками данных об угрозах, может быть изолирован от сети Интернет и получать обновления потоков данных об угрозах от компонента, установленного в DMZ.
- В автономном режиме, когда Kaspersky CyberTrace не интегрируется с SIEM-решениями, Kaspersky CyberTrace получает журналы из различных источников, таких как сетевые устройства, обрабатывает эти журналы в соответствии с заданными правилами нормализации и выполняет парсинг журналов в соответствии с заданными регулярными выражениями.
- Результаты поиска, успешно сопоставленные с потоками данных об угрозах, можно экспортировать в формате CSV для интеграции с другими системами (сетевыми экранами, системами обнаружения и предотвращения вторжений (IDS/IPS), пользовательскими инструментами.
- Деобфускация для обнаружения угроз, использующих техники сокрытия вредоносных действий в журналах безопасности.
Основными компонентами Kaspersky CyberTrace являются Kaspersky CyberTrace Service, Feed Utility, Log Scanner и веб-интерфейс Kaspersky CyberTrace.
Основные компоненты Kaspersky CyberTrace
Подробнее о том, как работает Kaspersky CyberTrace , смотрите в видео ниже:
Содержание документации
Эта документация разделена на несколько глав:
- Руководства по установке и интеграции
В этой главе представлены руководства по установке Kaspersky CyberTrace, интеграции с SIEM-решениями и источниками событий, а также по настройке Kaspersky CyberTrace после завершения интеграции.
Отправной точкой для процесса установки и интеграции служит раздел Начало работы.
- Руководства пользователя
В этой главе представлена информация о веб-интерфейсе Kaspersky CyberTrace, а также о приложениях и информационных панелях, обеспечивающих доступ к Kaspersky CyberTrace из SIEM-решения.
- Руководства администратора
В этой главе представлена информация об управлении Kaspersky CyberTrace, а также рассматриваются расширенные возможности Kaspersky. В этой главе также приводится описание компонентов Kaspersky CyberTrace и рабочих процессов для этих компонентов.
- Устранение неполадок
В этом разделе представлены решения типичных проблем, которые могут возникать при использовании Kaspersky CyberTrace.
- Рекомендации по снижению рисков безопасности
В этом разделе приведены рекомендации по снижению потенциальных рисков безопасности при работе с Kaspersky CyberTrace.