О Balancer
11 апреля 2024
ID 214594
Balancer — это один из компонентов Kaspersky CyberTrace. Он работает как сервис и позволяет использовать Kaspersky CyberTrace в режиме высокой доступности.
Режим высокой доступности используется, когда в одной локальной сети развернуто несколько экземпляров Kaspersky CyberTrace.
При установке HTTPS-соединений с экземплярами CyberTrace сервис Balancer проверяет HTTPS-сертификаты на соответствие эталонным сертификатам.
В режиме высокой доступности поддерживаются следующие функции Kaspersky CyberTrace:
- Сопоставление входящих событий с потоками данных об угрозах и источниками данных об угрозах.
- REST API Kaspersky CyberTrace.
Можно использовать следующие запросы REST API:
- Экспорт индикаторов в CSV
Такая схема развертывания позволяет добиться следующего:
- Снижение нагрузки на каждый экземпляр Kaspersky CyberTrace.
- Обеспечение отказоустойчивости сопоставления входящих событий, обработки запросов REST API и экспорта индикаторов в случае сбоя одного экземпляра.
Balancer направляет входящие события и запросы REST API на экземпляры Kaspersky CyberTrace, где выполняется процесс сопоставления. Затем Balancer получает результаты сопоставления, используя режим ReplyBack mode.
Использование Kaspersky CyberTrace в режиме высокой доступности
Требования и ограничения
Правильная работа Kaspersky CyberTrace в режиме высокой доступности требует выполнения следующих условий:
- Все экземпляры Kaspersky CyberTrace должны иметь идентичные настройки.
- Добавленные вручную поля контекста, а также индикаторы в источниках данных об угрозах FalsePositive и InternalTI, добавленные с помощью веб-интерфейса Kaspersky CyberTrace или REST API, должны быть идентичными во всех экземплярах Kaspersky CyberTrace.
- Все экземпляры Kaspersky CyberTrace должны иметь задачи экспорта индикаторов с идентичными именами и правилами фильтрации.
- Все экземпляры Kaspersky CyberTrace и Balancer должны использовать один и тот же файл лицензионного ключа.
Ответственность за выполнение вышеуказанных условий возлагается на администратора системы. Если эти условия не будут выполнены, корректная работа Kaspersky CyberTrace в режиме высокой доступности не гарантируется.
Использование Kaspersky CyberTrace в режиме высокой доступности связано со следующими ограничениями:
- Поскольку между экземплярами Kaspersky CyberTrace не поддерживается синхронизация, индикаторы в их базах данных могут в каждый конкретный момент времени немного различаться.
- Режим высокой доступности поддерживает только ограниченное подмножество запросов REST API. Balancer предварительно настроен на использование всех поддерживаемых типов запросов (более подробные сведения приведены в описании элемента
AllowedRequests
в разделе Настройка Balancer). - На одном конкретном экземпляре Kaspersky CyberTrace невозможно просмотреть статистику обнаруженных киберугроз по всем экземплярам.
- Если один из экземпляров Kaspersky CyberTrace становится недоступным после того, как на этот экземпляр было отправлено событие или запрос REST API, результат сопоставления событий или обработки запроса будет утрачен.
- Информационные события не отправляются в SIEM.