Как интегрировать потоки данных об угрозах «Лаборатории Касперского» со Splunk

Вы можете интегрировать потоки данных об угрозах «Лаборатории Касперского» с платформой Splunk с помощью:

• Kaspersky CyberTrace. Инструкция ниже.
• Приложений Kaspersky Threat Feed для Splunk Enterprise и Kaspersky Threat Feed для Splunk Cloud. Инструкция ниже.

Kaspersky CyberTrace

Kaspersky CyberTrace позволяет проверять URL-адреса, хеши файлов и IP-адреса в событиях, поступающих в Splunk. URL‑адреса, хеши файлов и IP-адреса сопоставляются с потоками данных об угрозах «Лаборатории Касперского», других вендоров или источников, загружаемых в Kaspersky CyberTrace. В процессе сопоставления SIEM-приложение определяет категорию индикатора и генерирует событие с информацией о том, какие меры необходимо принять. Обнаруженные события возвращаются в Splunk.

Чтобы установить SIEM-приложение для Splunk и настроить интеграцию:

1. Скачайте установочный файл Kaspersky CyberTrace в статье.
2. Установите Kaspersky CyberTrace. Инструкция в справке.
3. Настройте интеграцию со Spunk. Инструкция в справке.

SIEM-приложение для Splunk протестировано на Splunk версии 9.0 и выше.

Приложения Kaspersky Threat Feed для Splunk

Приложения Kaspersky Threat Feed для Splunk с помощью встроенных возможностей Splunk позволяют сопоставить обнаруженные данные из поступающих в Splunk событий с потоками данных об угрозах «Лаборатории Касперского». Процесс импорта потоков данных об угрозах «Лаборатории Касперского» состоит из скачивания потоков данных, конвертирования их в формат CSV и загрузки в Splunk.

Подробнее в справке для приложений:

• Threat Feed для Splunk Enterprise.
• Threat Feed для Splunk Cloud.

Файл в формате TGZ для Linux можно получить, отправив запрос на intelligence@kaspersky.com.