Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция со Splunk

Однокомпонентная схема интеграции (Splunk)

Об однокомпонентной схеме интеграции

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Об однокомпонентной схеме интеграции

11 апреля 2024

ID 166027

По умолчанию и Kaspersky CyberTrace Service, и Kaspersky CyberTrace App используют следующую схему интеграции. Это однокомпонентная схема интеграции.

О приложениях и сервисах

Однокомпонентная схема интеграции использует одно приложение и один сервис:

  • Kaspersky CyberTrace Service

    Этот сервис сопоставляет события Splunk с потоками данных Kaspersky Threat Data Feeds.

    Kaspersky CyberTrace Service отправляет полученные события в Splunk. Splunk хранит события из Kaspersky CyberTrace Service в индексе main.

  • Kaspersky CyberTrace App

    Это приложение содержит информационные панели приложения Kaspersky CyberTrace App, шаблоны информационных сообщений и скрипт поиска. Приложение также содержит правила парсинга событий Kaspersky CyberTrace Service и правила пересылки событий из Splunk в Kaspersky CyberTrace Service.

Однокомпонентная схема интеграции

В однокомпонентной схеме интеграции приложения Splunk и Kaspersky CyberTrace Service по умолчанию работают на одном сервере (IP-адрес 127.0.0.1). Kaspersky CyberTrace App принимает входные данные на порт 3000 и перенаправляет их в Kaspersky CyberTrace Service на порте 9999. После этого Kaspersky CyberTrace Service возвращает результаты сопоставления в Kaspersky CyberTrace App на порт 9998.

Чтобы установить Kaspersky CyberTrace Service на отдельный сервер, при установке Kaspersky CyberTrace необходимо указать адреса и порты, используемые Kaspersky CyberTrace Service и приложением Kaspersky CyberTrace App.

Схема однокомпонентной интеграции со Splunk.

Однокомпонентная схема интеграции

Формат событий

По умолчанию Kaspersky CyberTrace App и Kaspersky CyberTrace Service получают события в определенном формате:

  • Kaspersky CyberTrace Service использует для парсинга событий регулярные выражения из своего конфигурационного файла. Эти регулярные выражения можно просмотреть и настроить на вкладке Settings > Matching в веб-интерфейсе Kaspersky CyberTrace. Эти регулярные выражения предназначены для парсинга поступающих данных в определенном формате. Например, регулярное выражение по умолчанию для URL сопоставляет строки, содержащие код протокола (например, http:// или https://). Если URL в событиях, передаваемых устройствами, не содержат указания на протокол, необходимо соответствующим образом изменить регулярное выражение.
  • Сценарий поиска, поставляемый с Kaspersky CyberTrace App, отправляет события в Kaspersky CyberTrace Service в формате, с которым могут работать регулярные выражения, используемые в Kaspersky CyberTrace Service. В случае изменения регулярных выражений также необходимо отредактировать скрипт поиска, чтобы в нем использовался формат, соответствующий новым регулярным выражениям.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!