Установка Kaspersky CyberTrace Service и Feed Utility (сценарий DMZ)

Следующая процедура описывает порядок настройки хоста DMZ и локального хоста для установки Kaspersky CyberTrace Service на одном хосте (в этом разделе называется «локальным») и Feed Utility на другом хосте (в этом разделе называется «DMZ»).

Настройка хоста DMZ

Чтобы настроить хост DMZ, выполните следующие действия:

1. Установите CyberTrace на хосте DMZ для удобства настройки потоков данных об угрозах, которые предполагается загружать в CyberTrace в изолированной среде.
2. В мастере первоначальной настройки задайте необходимые параметры SIEM (имя, данные подключения).

   Эти настройки в дальнейшем будут использоваться для локального хоста.

   Также добавьте сертификат в формате PEM для настройки потоков данных об угрозах «Лаборатории Касперского», которые будут использоваться. Добавлять лицензионный ключ Kaspersky CyberTrace на хост DMZ не требуется, поскольку редакция Community позволяет настраивать все поддерживаемые типы потоков данных об угрозах. Добавление лицензионного ключа на локальном хосте является обязательным.

3. При необходимости добавьте или дополнительно настройте потоки данных об угрозах на странице Settings > Feeds после настройки в мастере первоначальной настройки.

   Убедитесь, что потоки данных об угрозах настроены правильно, для этого запустите обновление потоков данных об угрозах в CyberTrace хотя бы один раз.

4. Экспортируйте параметры из CyberTrace, для этого нажмите кнопку Export configuration files на странице Settings > Service.

   Если пользовательские потоки данных об угрозах были ранее настроены в Kaspersky CyberTrace, также сохраните файл httpsrv\etc\custom_feed_list.conf для дальнейшего использования.

5. Скопируйте каталог %service_dir%\dmz куда-либо кроме каталога %service_dir% (например, в каталог C:\Users\%UserName%).

   В дальнейшем путь к этому каталогу будет обозначаться как %dmz_fu%.

6. Удалите CyberTrace.

   Если потребуется добавить новые потоки данных об угрозах, CyberTrace можно будет снова установить на хосте DMZ.

7. Перенесите разделы Settings>Feeds и Settings>ProxySettings из экспортированного файла kl_feed_util.conf (см. шаг 4) в файл %dmz_fu%\kl_feed_util.conf (если раздел уже присутствует в целевом конфигурационном файле, замените этот раздел новыми данными).

   Не удаляйте экземпляр файла kl_feed_util.conf, экспортированный из CyberTrace, а также файл kl_feed_service.conf. Эти файлы будут использоваться на локальном хосте.

8. Укажите значение accepted в теге Settings > EULA в файле %dmz_fu%\kl_feed_util.conf.
9. Укажите <WorkDir>tmp_download</WorkDir> в разделе Settings/WorkDir файла %dmz_fu%\kl_feed_util.conf.
10. Добавьте файл %dmz_fu%\cron_dmz.cmd в список задач schtasks.

    Скрипт cron_dmz.cmd позволяет загружать потоки данных об угрозах на хост DMZ.

    В приведенном ниже примере скрипт cron_dmz.cmd выполняется один раз в 30 минут:

    schtasks /create /tn KasperskyFeedServiceUpdate /ru system /f /tr "\"%dmz_fu%\cron_dmz.cmd\"" /sc minute /mo 30

    Можно задать собственное расписание запуска скрипта.

Настройка локального хоста

Чтобы настроить локальный хост, выполните следующие действия:

1. Проверьте доступность хоста DMZ с локального хоста с помощью утилиты RSync (для этого выполните шаги из раздела «Синхронизация каталогов, содержащих потоки данных об угрозах»).
2. На локальном хосте установите CyberTrace той же версии, что была ранее установлена на хосте DMZ.
3. После установки остановите CyberTrace командой sc stop cybertrace.
4. Удалите файл %service_dir%\bin\.need_run_wizard.

   Это действие отключает мастер первоначальной настройки, поскольку настройка уже была выполнена на хосте DMZ.

5. Замените файлы %service_dir%\bin\kl_feed_util.conf и %service_dir%\bin\kl_feed_service.conf файлами, полученными на шаге 4 раздела «Настройка хоста DMZ».

   Если пользовательские потоки данных об угрозах ранее были настроены в Kaspersky CyberTrace, также замените файл httpsrv\etc\custom_feed_list.conf (или добавьте его, если он отсутствовал).

6. Откройте файл %service_dir%\bin\kl_feed_util.conf и задайте следующие параметры:
   • <NotifyKTFS path="../bin">true</NotifyKTFS>
   • <WorkDir>output</WorkDir>
   • <FeedsDir>../feeds/download</FeedsDir>
7. Выполните следующую настройку в файле %service_dir%\bin\kl_feed_service.conf:
   • Задайте настройки в следующих разделах:
     • Configuration>InputSettings>ConnectionString
     • Configuration>GUISettings>HTTPServer>ConnectionString
     • Configuration>GUISettings>HTTPServer>ResourcesIP
   • Задайте значение 0 в атрибуте update_frequency.

     Эта пользовательская настройка применяется, поскольку файлы потоков данных об угрозах, загруженные на хост DMZ, будут периодически синхронизироваться с помощью Schtasks, а не CyberTrace.

8. (Рекомендуется) Переименуйте файл %service_dir%\dmz\feeds.pem в feeds.pem.0, чтобы исключить некорректное обновление потоков данных об угрозах при нажатии кнопки Launch update now.
9. Откройте файл %service_dir%\scripts\cron_cybertrace.cmd и задайте следующие параметры:
   • RSYNC_USER (имя пользователя на хоста DMZ для авторизации).
   • RSYNC_HOST (имя хоста/IP-адрес хоста DMZ).
   • PATH_TO_FEEDS (путь к каталогу %dmz_fu%/download на хосте DMZ).
   • DOWNLOAD_DIR ("output").
   • SSH_KEY (убедитесь, что указан тот же путь к файлу ключа RSA, как и на шаге 1 раздела «Синхронизация каталогов, содержащих потоки данных об угрозах»).
10. Добавьте %service_dir%\scripts\cron_cybertrace.cmd в список задач cron.

    Скрипт cron_cybertrace.cmd запускает синхронизацию файлов потоков данных об угрозах с хоста DMZ. В следующем примере показано, что файл cron_dmz.cmd запускается один раз в 30 минут:

    schtasks /create /tn KasperskyFeedServiceUpdate /ru %user% /rp %password% /f /tr "%service_dir%\scripts\cron_cybertrace.cmd" /sc minute /mo 30

    Можно установить собственное расписание синхронизации.

11. Запустите CyberTrace.

    Выполните команду sc start cybertrace.

12. Откройте веб-интерфейс CyberTrace в браузере (введите данные, указанные на шаге 7, в разделе Configuration>GUISettings>HTTPServer>ConnectionString).
13. Убедитесь, что настройки потоков данных об угрозах на странице Settings>Feeds похожи на соответствующие настройки на хосте DMZ.
14. На странице Settings>Feeds задайте значение Never для параметра Update frequency.
15. На странице Settings>Licensing добавьте лицензионный ключ.
16. Настройте прочие параметры, не связанные с обновлением потоков данных об угрозах.