Настройка экземпляров Kaspersky CyberTrace
11 апреля 2024
ID 215368
В этом разделе описывается порядок настройки экземпляров Kaspersky CyberTrace для использования в режиме высокой доступности.
Для использования Kaspersky CyberTrace в режиме высокой доступности необходимо настроить все экземпляры Kaspersky CyberTrace следующим образом:
- Импортируйте один и тот же сертификат для потоков данных об угрозах Kaspersky Threat Data Feeds.
- Включите одни и те же потоки данных об угрозах Kaspersky Threat Data Feeds.
- Включите одни и те же потоки данных об угрозах OSINT, а также в случае необходимости добавьте и настройте идентичные пользовательские и сторонние потоки данных об угрозах.
Поля контекста, добавленные вручную, а также индикаторы в источниках данных об угрозах FalsePositive и InternalTI, добавленные с помощью веб-интерфейса Kaspersky CyberTrace или REST API, должны быть идентичными во всех экземплярах Kaspersky CyberTrace.
- Добавьте один и тот же лицензионный ключ или используйте режим Community Edition для всех экземпляров.
- Добавьте задачи экспорта индикаторов с одинаковыми именами и правилами фильтрации.
- Укажите следующее идентичное регулярное выражение для сопоставления входящих событий от Balancer:
Регулярное выражение для сопоставления входящих событий от Balancer
Тип индикатора
Имя правила
Регулярное выражение
CONTEXT
REQ
^(\d+)\s
Для регулярного выражения можно использовать любое разрешенное имя, однако важно убедиться, что то же имя регулярного выражения используется в шагах настройки ниже.
Можно указать регулярное выражение в источнике событий по умолчанию или создать новое.
- Задайте идентичные параметры формата событий для событий обнаружений киберугроз и информационных событий.
Каждое событие должно начинаться со значения, которое было извлечено из входящего события регулярным выражением
REQ
. Например:%REQ% category=%Category% %RecordContext%
. - Настройте формат событий, генерируемых Kaspersky CyberTrace в ответ на каждое полученное событие:
- Остановите Kaspersky CyberTrace Service следующей командой:
systemctl stop cybertrace.service
(в Linux)sc stop cybertrace
(в Windows)
- В элементе
OutputSettings > FinishedEventFormat
конфигурационного файлаKaspersky CyberTrace Service задайте следующий формат информационных событий:<FinishedEventFormat enabled="true">%REQ% LookupFinished</FinishedEventFormat>
Эти события предназначены только для внутреннего использования. Они не отправляются в SIEM.
- Сохраните конфигурационный файл.
- Запустите Kaspersky CyberTrace Service:
systemctl start cybertrace.service
(в Linux)sc start cybertrace
(в Windows)
- Остановите Kaspersky CyberTrace Service следующей командой:
Если требуется, можно также задать настройки соединения для отправки оповещений о событиях в Balancer в разделе Connection settings на вкладке Settings > Service. Используйте следующие параметры из файла kl_balancer.conf
:
- IP-адрес, указанный в элементе
Balancer
- Порт, указанный в параметре
cybertrace_port
элементаBalancer
Оповещения о событиях можно отправлять непосредственно в SIEM.
Параметры отправки событий обнаруженных киберугроз в режиме высокой доступности не используются, поскольку Balancer получает результаты сопоставления событий в режиме ReplyBack mode.