Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция со Splunk

Распределенная схема интеграции (Splunk)

О распределенной схеме интеграции

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

О распределенной схеме интеграции

11 апреля 2024

ID 166123

Kaspersky CyberTrace поддерживает распределенные среды Splunk. Схема интеграции для распределенных сред Splunk называется распределенной схемой интеграции.

О приложениях и сервисах, используемых в распределенной схеме интеграции

В распределенной схеме интеграции Kaspersky CyberTrace разделяется на два приложения и один сервис:

  • Kaspersky CyberTrace Service

    Этот сервис сопоставляет события Splunk с потоками данных Kaspersky Threat Data Feeds.

    Kaspersky CyberTrace Service отправляет полученные события в единственный индексатор, который ведет индекс событий, полученных от Kaspersky CyberTrace.

    Этот сервис может быть установлен на отдельном сервере.

  • Kaspersky CyberTrace Search Head (или приложение Search Head)

    Это приложение содержит информационные панели Kaspersky CyberTrace App, шаблоны информационных сообщений и скрипт поиска.

    Это приложение предназначено для установки в экземпляре Splunk, выступающем в качестве search head и отправляющем поисковые запросы в индексатор, который ведет индекс событий, полученных от Kaspersky CyberTrace.

  • Kaspersky CyberTrace App Forwarder (или Forwarder App)

    Это приложение содержит правила пересылки событий из Splunk в Kaspersky CyberTrace Service. Оно также получает события из Kaspersky CyberTrace Service.

    Это приложение предназначено для установки в экземплярах Splunk, которые должны пересылать события в Kaspersky CyberTrace Service.

    Kaspersky CyberTrace App Forwarder разделяется на два приложения в зависимости от типа Splunk Forwarder, используемого в распределенной схеме интеграции:

    • App for Heavy Forwarder.
    • App for Universal Forwarder.

О вариантах схемы интеграции

Следующие варианты схемы распределенной схемы интеграции демонстрируют общий подход к интеграции Kaspersky CyberTrace с распределенной средой Splunk. В зависимости от того, как организована распределенная среда Splunk, может потребоваться изменить или комбинировать эти варианты.

Вариант с одним индексатором и несколькими форвардерами

Схема распределенной интеграции со Splunk. Вариант с одним индексатором и несколькими форвардерами.

Один индексатор, несколько форвардеров

В варианте с одним индексатором и несколькими форвардерами несколько Heavy Forwarder или Universal Forwarder получают и пересылают события непосредственно в Kaspersky CyberTrace Service. Они должны использовать Forwarder App (для соответствующего типа Forwarder). Один из Forwarder'ов получает результаты сопоставления от Kaspersky CyberTrace Service. Форвардер отправляет результаты сопоставления в индексатор, который сохраняет их в индексе main, используемом Kaspersky CyberTrace для Splunk Search Head App.

Вариант с несколькими индексаторами и несколькими форвардерами

В варианте с несколькими индексаторами и несколькими форвардерами несколько Heavy Forwarder или Universal Forwarder получают и пересылают события непосредственно в Kaspersky CyberTrace Service. Они должны использовать Forwarder App (для соответствующего типа Forwarder). Один из Forwarder'ов получает результаты сопоставления от Kaspersky CyberTrace Service. Форвардер отправляет совпадения в индексаторы, которые сохраняют их в индексе main, используемом Kaspersky CyberTrace App.

Порты и адреса по умолчанию

По умолчанию Forwarder App и Kaspersky CyberTrace Service настроены на использование определенных адресов и портов для пересылки событий и получения результатов сопоставления. Эти адреса и порты необходимо изменить в соответствии со структурой используемой распределенной среды Splunk.

Необходимо изменить адреса и порты по умолчанию, которые используются в Forwarder App и Kaspersky CyberTrace Service.

По умолчанию Forwarder App:

  • Принимает события на порте :3000.
  • Получает события от Kaspersky CyberTrace на порт :9998. Эти события хранятся в индексе main.
  • Пересылает события на 127.0.0.1:9999.

По умолчанию Kaspersky CyberTrace Service работает следующим образом:

  • Получает события на 127.0.0.1:9999.
  • Отправляет собственные события на 127.0.0.1:9998.

Формат событий

По умолчанию Kaspersky CyberTrace App и Kaspersky CyberTrace Service настроены для получения событий в определенном формате:

  • Kaspersky CyberTrace Service выполняет парсинг событий с помощью регулярных выражений, заданных в его конфигурационном файле (регулярные выражения также отображаются в веб-интерфейсе Kaspersky CyberTrace). Эти регулярные выражения предназначены для поступающих данных в определенном формате. Например, регулярное выражение по умолчанию для URL сопоставляет URL вместе с протоколом (например, HTTP, HTTPS). Если URL в событиях, генерируемых устройствами, не включают протокол, измените регулярное выражение соответствующим образом.
  • Сценарий поиска, поставляемый с Kaspersky CyberTrace App (или Search Head App в случае распределенной схемы интеграции), отправляет события в Kaspersky CyberTrace Service в формате, соответствующем регулярным выражениям, которые использует Kaspersky CyberTrace Service.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!