О Balancer

Balancer — это один из компонентов Kaspersky CyberTrace. Он работает как сервис и позволяет использовать Kaspersky CyberTrace в режиме высокой доступности.

Режим высокой доступности используется, когда в одной локальной сети развернуто несколько экземпляров Kaspersky CyberTrace.

При установке HTTPS-соединений с экземплярами CyberTrace сервис Balancer проверяет HTTPS-сертификаты на соответствие эталонным сертификатам.

В режиме высокой доступности поддерживаются следующие функции Kaspersky CyberTrace:

• Сопоставление входящих событий с потоками данных об угрозах и источниками данных об угрозах.
• REST API Kaspersky CyberTrace.

  Можно использовать следующие запросы REST API:

  • POST lookup
  • GET suppliers
  • GET suppliers/{supplier}
• Экспорт индикаторов в CSV

Такая схема развертывания позволяет добиться следующего:

1. Снижение нагрузки на каждый экземпляр Kaspersky CyberTrace.
2. Обеспечение отказоустойчивости сопоставления входящих событий, обработки запросов REST API и экспорта индикаторов в случае сбоя одного экземпляра.

Balancer направляет входящие события и запросы REST API на экземпляры Kaspersky CyberTrace, где выполняется процесс сопоставления. Затем Balancer получает результаты сопоставления, используя режим ReplyBack mode.

Использование Kaspersky CyberTrace в режиме высокой доступности

Требования и ограничения

Правильная работа Kaspersky CyberTrace в режиме высокой доступности требует выполнения следующих условий:

1. Все экземпляры Kaspersky CyberTrace должны иметь идентичные настройки.
2. Добавленные вручную поля контекста, а также индикаторы в источниках данных об угрозах FalsePositive и InternalTI, добавленные с помощью веб-интерфейса Kaspersky CyberTrace или REST API, должны быть идентичными во всех экземплярах Kaspersky CyberTrace.
3. Все экземпляры Kaspersky CyberTrace должны иметь задачи экспорта индикаторов с идентичными именами и правилами фильтрации.
4. Все экземпляры Kaspersky CyberTrace и Balancer должны использовать один и тот же файл лицензионного ключа.

Ответственность за выполнение вышеуказанных условий возлагается на администратора системы. Если эти условия не будут выполнены, корректная работа Kaspersky CyberTrace в режиме высокой доступности не гарантируется.

Использование Kaspersky CyberTrace в режиме высокой доступности связано со следующими ограничениями:

1. Поскольку между экземплярами Kaspersky CyberTrace не поддерживается синхронизация, индикаторы в их базах данных могут в каждый конкретный момент времени немного различаться.
2. Режим высокой доступности поддерживает только ограниченное подмножество запросов REST API. Balancer предварительно настроен на использование всех поддерживаемых типов запросов (более подробные сведения приведены в описании элемента AllowedRequests в разделе Настройка Balancer).
3. На одном конкретном экземпляре Kaspersky CyberTrace невозможно просмотреть статистику обнаруженных киберугроз по всем экземплярам.
4. Если один из экземпляров Kaspersky CyberTrace становится недоступным после того, как на этот экземпляр было отправлено событие или запрос REST API, результат сопоставления событий или обработки запроса будет утрачен.
5. Информационные события не отправляются в SIEM.