Общие схемы интеграции (Splunk)
11 апреля 2024
ID 166026
В этой главе кратко описывается порядок интеграции Kaspersky CyberTrace со Splunk.
О схемах интеграции
Возможны две схемы интеграции Kaspersky CyberTrace со Splunk:
- Однокомпонентная схема интеграции
В однокомпонентной схеме интеграции Kaspersky CyberTrace Service и экземпляр Splunk настраиваются и работают на одном и том же сервере или на разных серверах.
- Распределенная схема интеграции
В распределенной схеме интеграции Kaspersky CyberTrace Service, Search Head App и Forwarder App устанавливаются в распределенной среде Splunk, при этом сервис и приложения настраиваются для взаимодействия друг с другом.
Порядок интеграции Kaspersky CyberTrace со Splunk по однокомпонентной схеме интеграции
Чтобы интегрировать Kaspersky CyberTrace со Splunk по однокомпонентной схеме интеграции, выполните следующие действия:
- Убедитесь, что выполнена установка Kaspersky CyberTrace.
В однокомпонентной схеме интеграции Kaspersky CyberTrace и экземпляр Splunk устанавливаются на одном и том же сервере или на разных серверах. По умолчанию приложение Kaspersky CyberTrace App для Splunk устанавливается на одном сервере с Kaspersky CyberTrace. Однако рекомендуется устанавливать Kaspersky CyberTrace на отдельный сервер; в этом случае сервис Kaspersky CyberTrace Service необходимо настроить во время установки, а приложение Kaspersky CyberTrace для Splunk должно быть настроено на шаге 2 (ниже).
- Шаг 1. Установка Kaspersky CyberTrace App для Splunk.
- Шаг 2 (необязательный). Настройка приложения Kaspersky CyberTrace для Splunk.
Этот шаг не является обязательным. Если пропустить этот шаг, Kaspersky CyberTrace App для Splunk будет использовать конфигурацию по умолчанию. События в CyberTrace в этом случае отправляться не будут.
По умолчанию приложение Kaspersky CyberTrace App для Splunk использует порт
9999
для отправки событий в Kaspersky CyberTrace и порт9998
для получения событий от Kaspersky CyberTrace. Если эти порты используются другим приложением, необходимо изменить порт либо в Kaspersky CyberTrace App для Splunk, либо в этом другом приложении. - Шаг 3 (необязательный). Настройка скрипта поиска.
Этот шаг не является обязательным. Если пропустить этот шаг, скрипт поиска будет использовать конфигурацию по умолчанию.
- Шаг 4. Выполните проверку работоспособности.
Перед изменением каких-либо настроек процесса сопоставления необходимо выполнить проверку работоспособности.
Порядок интеграции со Splunk по схеме распределенной интеграции
Чтобы интегрировать Kaspersky CyberTrace со Splunk по схеме распределенной интеграции, выполните следующие действия:
- Убедитесь, что выполнена установка Kaspersky CyberTrace.
В схеме распределенного развертывания Kaspersky CyberTrace можно установить на один из серверов, на которых уже установлен Forwarder или Indexer, либо на отдельный сервер.
В схеме распределенного развертывания во время установки необходимо настроить Kaspersky CyberTrace Service для получения событий от других объектов Splunk, таких как форвардеры и индексаторы, и отправлять свои собственные события в тот индексатор, в котором хранится индекс, используемый Kaspersky CyberTrace App для Splunk.
- Шаг 1. Установка Forwarder App и Search Head App.
- Шаг 2. Настройка Forwarder App и Search Head App для взаимодействия друг с другом и пересылки событий в Kaspersky CyberTrace.
- Шаг 3 (необязательный). Настройка скрипта поиска.
Этот шаг не является обязательным. Если пропустить этот шаг, скрипт поиска будет использовать конфигурацию по умолчанию.
- Шаг 4. Выполните проверку работоспособности.
Перед изменением каких-либо настроек процесса сопоставления необходимо выполнить проверку работоспособности.