Настройка экземпляров Kaspersky CyberTrace

В этом разделе описывается порядок настройки экземпляров Kaspersky CyberTrace для использования в режиме высокой доступности.

Для использования Kaspersky CyberTrace в режиме высокой доступности необходимо настроить все экземпляры Kaspersky CyberTrace следующим образом:

1. Импортируйте один и тот же сертификат для потоков данных об угрозах Kaspersky Threat Data Feeds.
2. Включите одни и те же потоки данных об угрозах Kaspersky Threat Data Feeds.
3. Включите одни и те же потоки данных об угрозах OSINT, а также в случае необходимости добавьте и настройте идентичные пользовательские и сторонние потоки данных об угрозах.

   Поля контекста, добавленные вручную, а также индикаторы в источниках данных об угрозах FalsePositive и InternalTI, добавленные с помощью веб-интерфейса Kaspersky CyberTrace или REST API, должны быть идентичными во всех экземплярах Kaspersky CyberTrace.

4. Добавьте один и тот же лицензионный ключ или используйте режим Community Edition для всех экземпляров.
5. Добавьте задачи экспорта индикаторов с одинаковыми именами и правилами фильтрации.
6. Укажите следующее идентичное регулярное выражение для сопоставления входящих событий от Balancer:

   Регулярное выражение для сопоставления входящих событий от Balancer

   Тип индикатора	Имя правила	Регулярное выражение
   CONTEXT	REQ	^(\d+)\s

   Для регулярного выражения можно использовать любое разрешенное имя, однако важно убедиться, что то же имя регулярного выражения используется в шагах настройки ниже.

   Можно указать регулярное выражение в источнике событий по умолчанию или создать новое.

7. Задайте идентичные параметры формата событий для событий обнаружений киберугроз и информационных событий.

   Каждое событие должно начинаться со значения, которое было извлечено из входящего события регулярным выражением REQ. Например: %REQ% category=%Category% %RecordContext%.

8. Настройте формат событий, генерируемых Kaspersky CyberTrace в ответ на каждое полученное событие:
   1. Остановите Kaspersky CyberTrace Service следующей командой:
      • systemctl stop cybertrace.service (в Linux)
      • sc stop cybertrace (в Windows)
   2. В элементе OutputSettings > FinishedEventFormat конфигурационного файлаKaspersky CyberTrace Service задайте следующий формат информационных событий:

      <FinishedEventFormat enabled="true">%REQ% LookupFinished</FinishedEventFormat>

      Эти события предназначены только для внутреннего использования. Они не отправляются в SIEM.

   3. Сохраните конфигурационный файл.
   4. Запустите Kaspersky CyberTrace Service:
      • systemctl start cybertrace.service (в Linux)
      • sc start cybertrace (в Windows)

Если требуется, можно также задать настройки соединения для отправки оповещений о событиях в Balancer в разделе Connection settings на вкладке Settings > Service. Используйте следующие параметры из файла kl_balancer.conf:

• IP-адрес, указанный в элементе Balancer
• Порт, указанный в параметре cybertrace_port элемента Balancer

Оповещения о событиях можно отправлять непосредственно в SIEM.

Параметры отправки событий обнаруженных киберугроз в режиме высокой доступности не используются, поскольку Balancer получает результаты сопоставления событий в режиме ReplyBack mode.