Изменение параметров потоков данных об угрозах после установки Kaspersky CyberTrace Service и Feed Utility на разных хостах (сценарий DMZ)

Поскольку хост DMZ предназначен только для загрузки потоков данных об угрозах, следующие настройки можно задать для ранее включенных потоков данных об угрозах в CyberTrace на локальном хосте. Можно изменить следующие параметры потоков данных об угрозах:

• Значение confidence для потока данных об угрозах (кроме потоков данных об угрозах «Лаборатории Касперского»)
• Ограничение на количество обрабатываемых записей потока данных об угрозах
• Срок хранения (кроме потоков данных об угрозах «Лаборатории Касперского»)
• Доступные поля для потока данных об угрозах
• Правила фильтрации
• Поля контекста

Также можно отключить любой поток данных об угрозах, который ранее был включен (в этом случае отключенные потоки данных об угрозах продолжат загружаться на хост DMZ и передаваться на локальный хост, пока они не будут отключены в файле %dmz_fu%/kl_feed_util.conf).

Параметры прокси-сервера можно настроить непосредственно в файле %dmz_fu%/kl_feed_util.conf на хосте DMZ.

При необходимости можно добавить новый поток данных об угрозах, как описано ниже.

Если какой-либо поток данных об угрозах был ранее отключен на локальном хосте, загрузка данных об угрозах на хосте DMZ прекратится после выполнения следующих действий.

Чтобы добавить новый поток данных об угрозах, выполните следующие действия:

1. На локальном хосте:
   1. Экспортируйте текущие настройки из CyberTrace, для этого нажмите кнопку Export configuration files на странице Settings>Service.

      Если пользовательские потоки данных об угрозах были ранее настроены в Kaspersky CyberTrace, также сохраните файл httpsrv/etc/custom_feed_list.conf для дальнейшего использования.

   2. Остановите сервис CyberTrace.

      Выполните команду systemctl stop cybertrace.service.

2. На хосте DMZ:
   1. Установите ту же версию CyberTrace, что и на локальном хосте.

      Если во время первоначальной настройки CyberTrace на узле DMZ не удалялся, пропустите этот шаг.

   2. Остановите сервис CyberTrace.

      Выполните команду systemctl stop cybertrace.service.

   3. Удалите файл %service_dir%/bin/.need_run_wizard.

      Если во время первоначальной настройки CyberTrace на узле DMZ не удалялся, пропустите этот шаг.

   4. Замените файлы %service_dir%/etc/kl_feed_service.conf и %service_dir%/etc/kl_feed_util.conf файлами, экспортированными с локального хоста на шаге 1 выше.

      Если пользовательские потоки данных об угрозах ранее были настроены в Kaspersky CyberTrace, также замените файл httpsrv/etc/custom_feed_list.conf (или добавьте его, если он отсутствовал).

      Укажите правильную строку Configuration>GUISettings>HTTPServer>ConnectionString, чтобы открыть веб-интерфейс CyberTrace в браузере.

   5. Запустите сервис CyberTrace.

      Выполните команду systemctl start cybertrace.service.

   6. Добавьте и настройте новые потоки данных об угрозах с помощью веб-интерфейса CyberTrace Web по адресу, указанному в параметре Configuration/GUISettings/HTTPServer/ConnectionString в файле %service_dir%/etc/kl_feed_service.conf.

      Убедитесь, что поток данных об угрозах настроен правильно, для этого запустите обновление потоков данных об угрозах в CyberTrace хотя бы один раз.

   7. Экспортируйте обновленные настройки из CyberTrace, для этого нажмите кнопку Export configuration files на странице Settings>Service.

      Если пользовательские потоки данных об угрозах были ранее настроены в Kaspersky CyberTrace, также сохраните файл httpsrv/etc/custom_feed_list.conf для дальнейшего использования.

   8. Удалите CyberTrace.
   9. Переместите (с заменой) разделы Settings>Feeds and Settings>ProxySettings из экспортированного файла kl_feed_util.conf в файл %dmz_fu%/kl_feed_util.conf.

      Не удаляйте экземпляр файла kl_feed_util.conf, экспортированный из CyberTrace, а также файл kl_feed_service.conf. Эти файлы также будут использоваться на локальном хосте.

3. На локальном хосте:
   1. Замените файлы %service_dir%/etc/kl_feed_service.conf и %service_dir%/etc/kl_feed_util.conf файлами, экспортированными с хоста DMZ.

      Если пользовательские потоки данных об угрозах ранее были настроены в Kaspersky CyberTrace, также замените файл httpsrv/etc/custom_feed_list.conf (или добавьте его, если он отсутствовал).

      Укажите правильную строку Configuration>GUISettings>HTTPServer>ConnectionString, чтобы открыть веб-интерфейс CyberTrace в браузере.

   2. Запустите сервис CyberTrace.

      Выполните команду systemctl start cybertrace.service.

   3. Откройте веб-интерфейс CyberTrace по адресу, указанному в параметре Configuration>GUISettings>HTTPServer>ConnectionString, и убедитесь, что страница Settings>Feeds содержит только что добавленный поток данных об угрозах и его настройки аналогичны настройкам на хосте DMZ. Также убедитесь, что все остальные потоки данных об угрозах настроены правильно.
   4. На странице Settings>Feeds для параметра Update frequency установите значение Never.