Как интегрировать потоки данных об угрозах «Лаборатории Касперского» со Splunk
Вы можете интегрировать потоки данных об угрозах «Лаборатории Касперского» с платформой Splunk с помощью:
- Kaspersky CyberTrace. Инструкция ниже.
- Приложений Kaspersky Threat Feed для Splunk Enterprise и Kaspersky Threat Feed для Splunk Cloud. Инструкция ниже.
Kaspersky CyberTrace
Kaspersky CyberTrace позволяет проверять URL-адреса, хеши файлов и IP-адреса в событиях, поступающих в Splunk. URL‑адреса, хеши файлов и IP-адреса сопоставляются с потоками данных об угрозах «Лаборатории Касперского», других вендоров или источников, загружаемых в Kaspersky CyberTrace. В процессе сопоставления SIEM-приложение определяет категорию индикатора и генерирует событие с информацией о том, какие меры необходимо принять. Обнаруженные события возвращаются в Splunk.
Чтобы установить SIEM-приложение для Splunk и настроить интеграцию:
- Скачайте установочный файл Kaspersky CyberTrace в статье.
- Установите Kaspersky CyberTrace. Инструкция в справке.
- Настройте интеграцию со Spunk. Инструкция в справке.
SIEM-приложение для Splunk протестировано на Splunk версии 9.0 и выше.
Приложения Kaspersky Threat Feed для Splunk
Приложения Kaspersky Threat Feed для Splunk с помощью встроенных возможностей Splunk позволяют сопоставить обнаруженные данные из поступающих в Splunk событий с потоками данных об угрозах «Лаборатории Касперского». Процесс импорта потоков данных об угрозах «Лаборатории Касперского» состоит из скачивания потоков данных, конвертирования их в формат CSV и загрузки в Splunk.
Подробнее в справке для приложений:
Файл в формате TGZ для Linux можно получить, отправив запрос на intelligence@kaspersky.com.