Состав комплекта поставки
11 апреля 2024
ID 162499
В этом разделе описывается содержимое комплекта поставки Kaspersky CyberTrace.
Типы комплектов поставки
Kaspersky CyberTrace распространяется в комплектах поставки следующих типов:
- В виде пакета RPM и набора дополнительных файлов
Комплект поставки этого типа предназначен для установки в ОС Linux.
- В виде пакета DEB и набора дополнительных файлов
Комплект поставки этого типа предназначен для установки в ОС Linux.
- В виде исполняемого файла установщика и набора дополнительных файлов
Комплект поставки этого типа предназначен для установки в ОС Windows.
О файлах интеграции
Все комплекты поставки Kaspersky CyberTrace настроены для интеграции с конкретным SIEM-решением или для автономной интеграции. Каждый комплект поставки содержит ряд файлов, которые можно использовать для интеграции с данным SIEM-решением. Кроме того, конфигурационные файлы Kaspersky CyberTrace Service и других утилит, содержащихся в комплекте поставки, также настроены для удобства интеграции с соответствующим решением SIEM.
Например, комплект поставки для Splunk содержит все компоненты Kaspersky CyberTrace и, кроме того, содержит настроенные конфигурационные файлы для Kaspersky CyberTrace Service и Feed Utility, позволяющие работать со Splunk. Каталог integration внутри комплекта поставки содержит приложения для всех вариантов схем интеграции Splunk. Эти приложения можно развернуть и использовать в инфраструктуре Splunk.
Комплекты поставки RPM и DEB
Комплект поставки этого типа содержит следующие файлы и каталоги.
Состав комплекта поставки (пакет RPM и DEB)
Элемент | Описание |
Kaspersky_CyberTrace-Linux-%architecture%-%version%.rpm (пакет RPM) Kaspersky_CyberTrace-Linux-%architecture%-%version%.deb (пакет DEB) | Инсталляционный пакет Kaspersky CyberTrace. Список файлов внутри этого пакета приведен в подразделе «Файлы, содержащиеся в архивах и пакетах (Linux)» ниже. |
legal_notices.txt | Юридическая информация. |
run.sh | Скрипт установки. |
Комплект поставки в виде исполняемого файла установщика
Комплект поставки этого типа содержит следующий файл.
Содержимое комплекта поставки (исполняемый файл установщика)
Элемент | Описание |
Kaspersky_CyberTrace-Windows-%architecture-version%-Release.exe | Исполняемый файл установщика. Список файлов внутри этого пакета приведен в подразделе «Файлы, содержащиеся в архивах и пакетах (Windows)» ниже. |
Файлы, содержащиеся в архивах и пакетах (Linux)
Пакеты RPM и DEB содержат следующий набор файлов.
Файлы, содержащиеся в архивах и пакетах (Linux)
Элемент | Описание |
bin/.need_run_wizard | Мастер первоначальной настройки Этот файл удаляется после завершения первоначальной настройки. |
bin/configure | Бинарный файл утилиты-конфигуратора |
bin/en_US/* | Файлы английской локализации. |
bin/kl_feed_service | Бинарный файл Kaspersky CyberTrace Service. |
bin/kl_balancer_log.conf | Конфигурационный файл журнала Balancer. |
bin/kl_feed_service_log.conf | Конфигурационный файл журнала Kaspersky CyberTrace Service. |
bin/kl_balancer | Бинарный файл Balancer. |
bin/kl_balancer.conf | Конфигурационный файл Balancer |
modules/elasticsearch/* | Каталог, содержащий файлы базы данных Elasticsearch. |
dmz/cron_dmz.sh | Скрипт обновления потоков данных об угрозах с отдельного сервера. |
dmz/demofeeds.pem | Сертификат необходим для доступа к демонстрационным потокам данных об угрозах. |
dmz/feeds.pem | Сертификат необходим для доступа к демонстрационным потокам данных об угрозах. Он заменяется сертификатом, указанным при установке Kaspersky CyberTrace. |
dmz/kl_feed_compiler | Бинарный файл, используемый Feed Utility для компиляции потоков данных об угрозах. |
dmz/kl_feed_util | Бинарный файл Feed Utility. |
dmz/kl_feed_util.conf | Конфигурационный файл Feed Utility. |
dmz/TextExtraction | Утилита для парсинга файлов PDF. |
doc/Kaspersky_CyberTrace_Online_Documentation.html | HTML-страница, перенаправляющая на онлайн-документацию по Kaspersky CyberTrace. |
doc/legal_notices.txt | Юридическая информация. |
doc/license.txt | Лицензионное соглашение (EULA). |
etc/systemd/system/cybertrace.service | Файл модуля systemd для Kaspersky CyberTrace Service. |
etc/systemd/system/cybertrace_balancer.service | Файл модуля systemd для Balancer. |
etc/systemd/system/cybertrace_db.service | Файл модуля systemd для сервиса базы данных Elasticsearch. |
etc/kl_feed_service.conf | Конфигурационный файл Kaspersky CyberTrace Service. |
etc/kl_feed_service_templates.conf | Шаблон конфигурационного файла. |
etc/kl_feed_util.conf | Конфигурационный файл Feed Utility. |
etc/kl_feed_util_diff.conf | Конфигурационный файл Feed Utility для использования с инкрементными потоками данных об угрозах. |
feeds/APT_URL_Data_Feed.json.url.bin/* feeds/Botnet_CnC_URL_Data_Feed.json.url.bin/* feeds/Demo_Botnet_CnC_URL_Data_Feed.json.url.bin/* feeds/IoT_URL_Data_Feed.json.url.bin/* feeds/Malicious_URL_Data_Feed.json.url.bin/* feeds/Mobile_Botnet_CnC_URL_Data_Feed.json.url.bin/* feeds/Phishing_URL_Data_Feed.json.url.bin/* feeds/Ransomware_URL_Data_Feed.json.url.bin/* /feeds/White_List.json.url.bin/masks_0001.dat | Скомпилированные маски URL для потоков данных об угрозах. |
feeds/Demo_Botnet_CnC_URL_Data_Feed.json feeds/Demo_IP_Reputation_Data_Feed.json feeds/Demo_Malicious_Hash_Data_Feed.json | Демонстрационные потоки данных об угрозах. |
feeds/APT_Hash_Data_Feed.json feeds/APT_IP_Data_Feed.json feeds/APT_URL_Data_Feed.json feeds/Botnet_CnC_URL_Data_Feed.json feeds/IoT_URL_Data_Feed.json feeds/IP_Reputation_Data_Feed.json feeds/Malicious_Hash_Data_Feed.json feeds/Malicious_URL_Data_Feed.json feeds/Mobile_Botnet_CnC_URL_Data_Feed.json feeds/Mobile_Malicious_Hash_Data_Feed.json feeds/Phishing_URL_Data_Feed.json feeds/Ransomware_URL_Data_Feed.json feeds/ICS_Hash_Data_Feed.json | Файлы для проверки работоспособности коммерческих потоков данных об угрозах. При обновлении эти файлы заменяются реальными коммерческими потоками данных об угрозах. |
httpsrv/etc/kl_feed_info.conf | Файл, содержащий информацию о потоках данных об угрозах Kaspersky Threat Data Feeds. |
httpsrv/etc/kl_feed_info_diff.conf | Файл, содержащий информацию о потоках данных об угрозах Kaspersky Threat Data Feeds, для которых доступны инкрементные версии. |
httpsrv/etc/ktfsaccess | Файл, содержащий информацию об учетных записях CyberTrace. |
httpsrv/etc/ktfsstatistics.kvdb | Вспомогательный файл для веб-интерфейса Kaspersky CyberTrace. Этот файл не входит в комплект поставки, а создается в процессе работы Kaspersky CyberTrace. |
httpsrv/etc/ktfsstorage.kvdb | Файл, содержащий информацию об открытых сессиях и выполняющихся задачах. Этот файл не входит в комплект поставки, а создается в дальнейшем в процессе работы Kaspersky CyberTrace. |
httpsrv/etc/ktfstasks.kvdb | Вспомогательный файл для веб-интерфейса Kaspersky CyberTrace. Этот файл не входит в комплект поставки, а создается в процессе работы Kaspersky CyberTrace. |
httpsrv/etc/osint_feed_list.conf | Файл, содержащий список поддерживаемых потоков данных об угрозах «OSINT feed». |
httpsrv/kl_feed_service_cert.pem | Путь к сертификату в формате PEM на локальном сервере для HTTPS-соединений. |
httpsrv/kl_feed_service_private.pem | Путь к закрытому ключу в формате PEM на локальном сервере для HTTPS-соединений. |
httpsrv/templates/* | Каталог, содержащий шаблоны для веб-интерфейса Kaspersky CyberTrace. |
httpsrv/templates_kuma/* | Каталог, содержащий шаблоны веб-интерфейса Kaspersky CyberTrace для интеграции с KUMA. |
integration/* | Файлы для интеграции с конкретным SIEM-решением. Список этих файлов приведен в подразделах «Файлы интеграции...» ниже. |
plugins/virus_total/* | Каталог, содержащий файлы для плагина VirusTotal. |
scripts/cron_cybertrace.sh | Скрипт для обновления потоков данных об угрозах, когда Kaspersky CyberTrace Service и Feed Utility установлены на разных серверах. |
tools/integrity_checker | Утилита, проверяющая подписи плагинов. |
tools/kl_access_util | Password Utility |
tools/kl_feed_compiler | Бинарный файл, используемый Feed Utility для компиляции потоков данных об угрозах. |
tools/kl_feed_util | Бинарный файл Feed Utility. |
tools/log_scanner | Бинарный файл Log Scanner. |
tools/log_scanner.conf | Конфигурационный файл Log Scanner. |
tools/openssl | Бинарный файл OpenSSL. |
tools/openssl.cnf | Конфигурационный файл OpenSSL. |
tools/output/feeds.info | Вспомогательный файл. |
tools/TextExtraction | Утилита для парсинга файлов PDF. |
var/graphs/* | Каталог с файлами графов. |
var/retroscan/* | Каталог с файлами ретроспективного сканирования. |
verification/kl_verification_test_leef.txt | События в формате LEEF для проверки работоспособности. |
verification/kl_verification_test_cef.txt | События в формате CEF для проверки работоспособности. |
Файлы, содержащиеся в архивах и пакетах (Windows)
Исполняемые файлы установщика содержат следующий набор файлов.
Файлы, содержащиеся в архивах и пакетах (Windows)
Элемент | Описание |
bin\.need_run_wizard | Мастер первоначальной настройки Этот файл удаляется после завершения первоначальной настройки. |
bin\en_US | Файлы английской локализации. |
bin\kl_feed_service.conf | Конфигурационный файл Kaspersky CyberTrace Service. |
bin\kl_feed_service.exe | Бинарный файл Kaspersky CyberTrace Service. |
bin\kl_balancer_log.conf | Конфигурационный файл журнала Balancer. |
bin\kl_feed_service_log.conf | Конфигурационный файл журнала Kaspersky CyberTrace Service. |
bin\kl_feed_service_template.conf | Шаблон конфигурационного файла Kaspersky CyberTrace Service. |
bin\kl_feed_util.conf | Конфигурационный файл Feed Utility. |
bin\kl_balancer.exe | Бинарный файл Balancer. |
bin\kl_balancer.conf | Конфигурационный файл Balancer. |
bin\kl_feed_util_diff.conf | Конфигурационный файл Feed Utility для использования с инкрементными потоками данных об угрозах. |
modules\elasticsearch\* | Папка, содержащая файлы базы данных Elasticsearch. |
dmz\cron_dmz.cmd | Скрипт обновления потоков данных об угрозах с отдельного сервера. |
dmz\demofeeds.pem | Сертификат, необходимый для доступа к демонстрационным потокам данных об угрозах. |
dmz\feeds.pem | Сертификат, необходимый для доступа к демонстрационным потокам данных об угрозах. Он заменяется сертификатом, указанным при установке Kaspersky CyberTrace. |
dmz\kl_feed_compiler.exe | Бинарный файл, используемый Feed Utility для компиляции потоков данных об угрозах. |
dmz\kl_feed_util.conf | Конфигурационный файл Feed Utility. |
dmz\kl_feed_util.exe | Бинарный файл Feed Utility. |
dmz\TextExtraction.exe | Утилита для парсинга файлов PDF. |
doc\Kaspersky_CyberTrace_Online_Documentation.html | HTML-страница, перенаправляющая на онлайн-документацию по Kaspersky CyberTrace. |
doc\legal_notices.txt | Юридическая информация. |
doc\license.rtf | Лицензионное соглашение (EULA). |
doc\ReleaseNotes.txt | Заметки о выпуске. |
feeds\APT_URL_Data_Feed.json.url.bin\* feeds\Botnet_CnC_URL_Data_Feed.json.url.bin\* feeds\Demo_Botnet_CnC_URL_Data_Feed.json.url.bin\* feeds\IoT_URL_Data_Feed.json.url.bin\* feeds\Malicious_URL_Data_Feed.json.url.bin\* feeds\Mobile_Botnet_CnC_URL_Data_Feed.json.url.bin\* feeds\Phishing_URL_Data_Feed.json.url.bin\* feeds\Ransomware_URL_Data_Feed.json.url.bin\* feeds | Скомпилированные маски URL для потоков данных об угрозах. |
feeds\Demo_Botnet_CnC_URL_Data_Feed.json feeds\Demo_IP_Reputation_Data_Feed.json feeds\Demo_Malicious_Hash_Data_Feed.json | Демонстрационные потоки данных об угрозах. |
feeds\APT_Hash_Data_Feed.json feeds\APT_IP_Data_Feed.json feeds\APT_URL_Data_Feed.json feeds\Botnet_CnC_URL_Data_Feed.json feeds\IoT_URL_Data_Feed.json feeds\IP_Reputation_Data_Feed.json feeds\Malicious_Hash_Data_Feed.json feeds\Malicious_URL_Data_Feed.json feeds\Mobile_Botnet_CnC_URL_Data_Feed.json feeds\Mobile_Malicious_Hash_Data_Feed.json feeds\Phishing_URL_Data_Feed.json feeds\Ransomware_URL_Data_Feed.json feeds\ICS_Hash_Data_Feed.json | Файлы для проверки работоспособности коммерческих потоков данных об угрозах. При обновлении эти файлы заменяются реальными коммерческими потоками данных об угрозах. |
httpsrv\etc\kl_feed_info.conf | Файл, содержащий информацию о потоках данных об угрозах Kaspersky Threat Data Feeds. |
httpsrv\etc\kl_feed_info_diff.conf | Файл, содержащий информацию о потоках данных об угрозах Kaspersky Threat Data Feeds, для которых доступны инкрементные версии. |
httpsrv\etc\ktfsaccess | Файл, содержащий информацию об учетных записях CyberTrace. |
httpsrv\etc\ktfsstatistics.kvdb | Вспомогательный файл для веб-интерфейса Kaspersky CyberTrace. Этот файл не входит в комплект поставки, а создается в процессе работы Kaspersky CyberTrace. |
httpsrv\etc\ktfsstorage.kvdb | Файл, содержащий информацию об открытых сессиях и выполняющихся задачах. Этот файл не входит в комплект поставки, а создается в процессе работы Kaspersky CyberTrace. |
httpsrv\etc\ktfstasks.kvdb | Вспомогательный файл для веб-интерфейса Kaspersky CyberTrace. Этот файл не входит в комплект поставки, а создается в процессе работы Kaspersky CyberTrace. |
httpsrv\etc\osint_feed_list.conf | Файл, содержащий список поддерживаемых потоков данных об угрозах «OSINT feed». |
httpsrv\kl_feed_service_cert.pem | Путь к сертификату в формате PEM на локальном сервере для HTTPS-соединений. |
httpsrv\kl_feed_service_private.pem | Путь к закрытому ключу в формате PEM на локальном сервере для HTTPS-соединений. |
httpsrv\templates\* | Папка, содержащая шаблоны для веб-интерфейса Kaspersky CyberTrace. |
httpsrv\templates_kuma | Папка, содержащая шаблоны веб-интерфейса Kaspersky CyberTrace для интеграции с KUMA. |
integration\* | Файлы для интеграции с конкретным SIEM-решением. Список этих файлов приведен в подразделах «Файлы интеграции...» ниже. |
plugins\virus_total\* | Папка, содержащая файлы для плагина VirusTotal. |
scripts\cron_cybertrace.cmd | Скрипт для обновления потоков данных об угрозах, когда Kaspersky CyberTrace Service и Feed Utility установлены на разных серверах. |
tools\integrity_checker.exe | Утилита, проверяющая подписи плагинов. |
tools\kl_access_util.exe | Password Utility |
tools\kl_feed_compiler.exe | Бинарный файл, используемый Feed Utility для компиляции потоков данных об угрозах. |
tools\kl_feed_util.exe | Бинарный файл Feed Utility. |
tools\log_scanner.conf | Конфигурационный файл Log Scanner. |
tools\log_scanner.exe | Бинарный файл Log Scanner. |
tools\openssl.cnf | Конфигурационный файл OpenSSL для генерации самоподписанного сертификата. |
tools\openssl.exe | Бинарный файл OpenSSL. |
tools\TextExtraction.exe | Утилита для парсинга файлов PDF. |
var\graphs\* | Папка с файлами графов. Эта папка не входит в комплект поставки и создается при запуске Kaspersky CyberTrace. |
var\retroscan\* | Папка с файлами ретроспективного сканирования. Эта папка не входит в комплект поставки и создается при запуске Kaspersky CyberTrace. |
verification\kl_verification_test_leef.txt | События в формате LEEF для проверки работоспособности. |
verification\kl_verification_test_cef.txt | События в формате CEF для проверки работоспособности. |
Файлы интеграции (Splunk)
Файлы интеграции для Splunk описаны в следующей таблице.
Файлы интеграции (Splunk)
Элемент | Описание |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk.tar.gz | Файл приложения Kaspersky CyberTrace App for Splunk для однокомпонентной схемы интеграции. |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Forwarder.tar.gz | Файл приложения Kaspersky CyberTrace App for Splunk Heavy Forwarder для распределенной схемы интеграции. |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Search-Head.tar.gz | Файл приложения Kaspersky CyberTrace App for Splunk Search Head для распределенной схемы интеграции. |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Universal-Forwarder.tar.gz | Файл приложения Kaspersky CyberTrace App for Splunk Universal Forwarder для распределенной схемы интеграции. |
Файлы интеграции (ArcSight)
Файлы интеграции для ArcSight описаны в следующей таблице.
Файлы интеграции (ArcSight)
Элемент | Описание |
integration/arcsight/Kaspersky_CyberTrace_Connector.arb | ARB-файл Kaspersky CyberTrace Connector для ArcSight. |
Файлы интеграции (QRadar)
Файлы интеграции для QRadar описаны в следующей таблице.
Файлы интеграции (QRadar)
Элемент | Описание |
integration/qradar/sample_initiallog.txt | Пример журнала для первой передачи событий в QRadar. |
integration/qradar/sample_qid.txt | Пример списка QID для импорта в QRadar. |
Файлы интеграции (RSA NetWitness)
Файлы интеграции для RSA NetWitness описаны в следующей таблице.
Файлы интеграции (RSA NetWitness)
Элемент | Описание |
integration/rsa/additional_elements/CyberTrace_Charts.zip | Файл, содержащий предварительно настроенные диаграммы. |
integration/rsa/additional_elements/CyberTrace_Reports.zip | Файл, содержащий предварительно настроенный отчет. |
integration/rsa/additional_elements/CyberTrace_Rules.zip | Файл, содержащий правила для работы с событиями из Kaspersky CyberTrace Service. |
integration/rsa/additional_elements/index-concentrator-custom.xml | Пример данных, которые можно добавить в файл index-concentrator-custom.xml. Этот пример данных содержит только описание полей контекста kl. |
integration/rsa/additional_elements/Kaspersky CyberTrace.zip | Файл для создания информационной панели Kaspersky CyberTrace в RSA NetWitness 11.0. |
integration/rsa/additional_elements/Kaspersky+CyberTrace.cfg | Файл для создания информационной панели Kaspersky CyberTrace в RSA NetWitness 10.6. |
integration/rsa/additional_elements/MetaGroups.jsn | Файл, содержащий метагруппу, используемую для просмотра полей в RSA NetWitness, которые заполняет Kaspersky CyberTrace Service. |
integration/rsa/additional_elements/MetaGroups_without_kl_fields.jsn | Метагруппа для вкладки «Navigate». Эта метагруппа не содержит полей контекста |
integration/rsa/additional_elements/table-map-custom.xml | Пример данных, которые можно добавить в файл table-map-custom.xml. Этот пример данных содержит только описание полей контекста |
integration/rsa/cybertrace/cybertrace.ini | Файл, используемый для интеграции Kaspersky CyberTrace с RSA NetWitness. |
integration/rsa/cybertrace/v20_cybertracemsg.xml | Файл, используемый для интеграции Kaspersky CyberTrace с RSA NetWitness |
Файлы интеграции (LogRhythm)
Файлы интеграции для LogRhythm описаны в следующей таблице.
Файлы интеграции (LogRhythm)
Элемент | Описание |
integration/logrhythm/events/* | Файлы, содержащие правила Kaspersky CyberTrace для импорта в LogRhythm:
|
