Интеграция поиска по индикаторам CyberTrace

По умолчанию проверка соединения с CyberTrace в KUMA отсутствует.

Если вы хотите проверить интеграцию с CyberTrace и убедиться, что обогащение событий выполняется, вы можете повторить шаги из следующего примера или адаптировать пример с учетом своих потребностей. В примере показана проверка интеграции, в результате которой обогащение будет выполнено и событие будет содержать заданный тестовый URL.

Чтобы выполнить проверку:

1. Создайте тестовое правило обогащения с параметрами, перечисленными в таблице ниже.

   Параметр	Значение
   Название	Test CT enrichment
   Тенант	Общий
   Тип источника	CyberTrace
   URL	<URL сервера cybertrace, которому вы хотите отправлять запросы>:9999
   Сопоставление	Поле KUMA: RequestURL Индикатор CyberTrace: url
   Отладка	Включено

1. Создайте тестовый коллектор со следующими параметрами:

   На шаге 2 Транспорт укажите коннектор http.

   На шаге 3 Парсинг событий укажите нормализатор и выберите метод парсинга json, задайте сопоставление полей RequestUrl – RequestUrl.

   На шаге 6 Обогащение укажите правило обогащения Test CT enrichment.

   На шаге 7 Маршрутизация укажите хранилище, куда следует отправлять события.

2. Нажмите Сохранить и создать сервис.

   В окне появится готовая команда для установки коллектора.

3. Нажмите Копировать, чтобы скопировать команду в буфер обмена, и запустите команду через интерфейс командной сроки. Дождитесь выполнения команды, вернитесь в веб-интерфейс KUMA и нажмите Сохранить коллектор.

   Тестовый коллектор создан, и тестовое правило обогащения привязано к коллектору.

4. Через интерфейс командной строки отправьте в коллектор запрос, который вызовет появление события и последующее обогащение значением тестового URL http://fakess123bn.nu. Например:

   curl --request POST \
  --url http://<идентификатор хоста, на котором установлен коллектор>:<порт коллектора>/input \
  --header 'Content-Type: application/json' \
  --data '{"RequestUrl":"http://fakess123bn.nu"}'

5. Перейдите в раздел KUMA События и выполните следующий запрос, чтобы ограничить выдачу событий и найти обогащенное событие:

   SELECT * FROM `events` WHERE RequestUrl = 'http://fakess123bn.nu' ORDER BY Timestamp DESC LIMIT 250

   Результат:

   Обогащение выполнено успешно, в событии появилось поле RequestURL со значением http://fakess123bn.nu, а также TI-индикатор и категория индикатора c данными CyberTrace.

Если в результате проверки обогащение не выполнено, например TI-индикатор отсутствует, мы рекомендуем:

1. Проверить параметры коллектора и правила обогащения.
2. Выгрузить журналы коллектора с помощью следующей команды и просмотреть полученные журналы на наличие ошибок:

   tail -f /opt/kaspersky/kuma/collector/<идентификатор коллектора>/log/collector