Установка Kaspersky CyberTrace Service и Feed Utility (сценарий DMZ)
11 апреля 2024
ID 268318
Следующая процедура описывает порядок настройки хоста DMZ и локального хоста для установки Kaspersky CyberTrace Service на одном хосте (в этом разделе называется «локальным») и Feed Utility на другом хосте (в этом разделе называется «DMZ»).
Настройка хоста DMZ
Чтобы настроить хост DMZ, выполните следующие действия:
- Установите CyberTrace на хосте DMZ для удобства настройки потоков данных об угрозах, которые предполагается загружать в CyberTrace в изолированной среде.
- В мастере первоначальной настройки задайте необходимые параметры SIEM (имя, данные подключения).
Эти настройки в дальнейшем будут использоваться для локального хоста.
Также добавьте сертификат в формате PEM для настройки потоков данных об угрозах «Лаборатории Касперского», которые будут использоваться. Добавлять лицензионный ключ Kaspersky CyberTrace на хост DMZ не требуется, поскольку редакция Community позволяет настраивать все поддерживаемые типы потоков данных об угрозах. Добавление лицензионного ключа на локальном хосте является обязательным.
- При необходимости добавьте или дополнительно настройте потоки данных об угрозах на странице Settings > Feeds после настройки в мастере первоначальной настройки.
Убедитесь, что потоки данных об угрозах настроены правильно, для этого запустите обновление потоков данных об угрозах в CyberTrace хотя бы один раз.
- Экспортируйте параметры из CyberTrace, для этого нажмите кнопку Export configuration files на странице Settings > Service.
Если пользовательские потоки данных об угрозах были ранее настроены в Kaspersky CyberTrace, также сохраните файл
httpsrv\etc\custom_feed_list.conf
для дальнейшего использования. - Скопируйте каталог
%service_dir%\dmz
куда-либо кроме каталога%service_dir%
(например, в каталогC:\Users\%UserName%
).В дальнейшем путь к этому каталогу будет обозначаться как
%dmz_fu%
. - Удалите CyberTrace.
Если потребуется добавить новые потоки данных об угрозах, CyberTrace можно будет снова установить на хосте DMZ.
- Перенесите разделы
Settings
>Feeds
иSettings
>ProxySettings
из экспортированного файлаkl_feed_util.conf
(см. шаг 4) в файл%dmz_fu%\kl_feed_util.conf
(если раздел уже присутствует в целевом конфигурационном файле, замените этот раздел новыми данными).Не удаляйте экземпляр файла
kl_feed_util.conf
, экспортированный из CyberTrace, а также файлkl_feed_service.conf
. Эти файлы будут использоваться на локальном хосте. - Укажите значение
accepted
в тегеSettings
>EULA
в файле%dmz_fu%\kl_feed_util.conf
. - Укажите
<WorkDir>tmp_download</WorkDir>
в разделеSettings/WorkDir
файла%dmz_fu%\kl_feed_util.conf
. - Добавьте файл
%dmz_fu%\cron_dmz.cmd
в список задач schtasks.Скрипт
cron_dmz.cmd
позволяет загружать потоки данных об угрозах на хост DMZ.В приведенном ниже примере скрипт
cron_dmz.cmd
выполняется один раз в 30 минут:schtasks /create /tn KasperskyFeedServiceUpdate /ru system /f /tr "\"%dmz_fu%\cron_dmz.cmd\"" /sc minute /mo 30
Можно задать собственное расписание запуска скрипта.
Настройка локального хоста
Чтобы настроить локальный хост, выполните следующие действия:
- Проверьте доступность хоста DMZ с локального хоста с помощью утилиты RSync (для этого выполните шаги из раздела «Синхронизация каталогов, содержащих потоки данных об угрозах»).
- На локальном хосте установите CyberTrace той же версии, что была ранее установлена на хосте DMZ.
- После установки остановите CyberTrace командой
sc stop cybertrace
. - Удалите файл
%service_dir%\bin\.need_run_wizard
.Это действие отключает мастер первоначальной настройки, поскольку настройка уже была выполнена на хосте DMZ.
- Замените файлы
%service_dir%\bin\kl_feed_util.conf
и%service_dir%\bin\kl_feed_service.conf
файлами, полученными на шаге 4 раздела «Настройка хоста DMZ».Если пользовательские потоки данных об угрозах ранее были настроены в Kaspersky CyberTrace, также замените файл
httpsrv\etc\custom_feed_list.conf
(или добавьте его, если он отсутствовал). - Откройте файл
%service_dir%\bin\kl_feed_util.conf
и задайте следующие параметры:<NotifyKTFS path="../bin">true</NotifyKTFS>
<WorkDir>output</WorkDir>
<FeedsDir>../feeds/download</FeedsDir>
- Выполните следующую настройку в файле
%service_dir%\bin\kl_feed_service.conf
:- Задайте настройки в следующих разделах:
-
Configuration
>InputSettings
>ConnectionString
Configuration
>GUISettings
>HTTPServer
>ConnectionString
Configuration
>GUISettings
>HTTPServer
>ResourcesIP
-
- Задайте
значение 0
в атрибутеupdate_frequency
.Эта пользовательская настройка применяется, поскольку файлы потоков данных об угрозах, загруженные на хост DMZ, будут периодически синхронизироваться с помощью Schtasks, а не CyberTrace.
- Задайте настройки в следующих разделах:
- (Рекомендуется) Переименуйте файл
%service_dir%\dmz\feeds.pem
вfeeds.pem.0
, чтобы исключить некорректное обновление потоков данных об угрозах при нажатии кнопки Launch update now. - Откройте файл
%service_dir%\scripts\cron_cybertrace.cmd
и задайте следующие параметры:RSYNC_USER
(имя пользователя на хоста DMZ для авторизации).RSYNC_HOST
(имя хоста/IP-адрес хоста DMZ).PATH_TO_FEEDS
(путь к каталогу%dmz_fu%/download
на хосте DMZ).DOWNLOAD_DIR
("output").SSH_KEY
(убедитесь, что указан тот же путь к файлу ключа RSA, как и на шаге 1 раздела «Синхронизация каталогов, содержащих потоки данных об угрозах»).
- Добавьте
%service_dir%\scripts\cron_cybertrace.cmd
в список задач cron.Скрипт
cron_cybertrace.cmd
запускает синхронизацию файлов потоков данных об угрозах с хоста DMZ. В следующем примере показано, что файл cron_dmz.cmd запускается один раз в 30 минут:schtasks /create /tn KasperskyFeedServiceUpdate /ru %user% /rp %password% /f /tr "%service_dir%\scripts\cron_cybertrace.cmd" /sc minute /mo 30
Можно установить собственное расписание синхронизации.
- Запустите CyberTrace.
Выполните команду
sc start cybertrace
. - Откройте веб-интерфейс CyberTrace в браузере (введите данные, указанные на шаге 7, в разделе
Configuration
>GUISettings
>HTTPServer
>ConnectionString
). - Убедитесь, что настройки потоков данных об угрозах на странице Settings>Feeds похожи на соответствующие настройки на хосте DMZ.
- На странице Settings>Feeds задайте значение
Never
для параметраUpdate frequency
. - На странице Settings>Licensing добавьте лицензионный ключ.
- Настройте прочие параметры, не связанные с обновлением потоков данных об угрозах.