Раздельная установка Kaspersky CyberTrace Service и Feed Utility (Windows)

Kaspersky CyberTrace Service и Feed Utility можно установить на разные хосты. Это позволяет изолировать от интернета хост, на котором данные о событиях сопоставляются с потоками данных об угрозах.

Каталог dmz из комплекта поставки Kaspersky CyberTrace не следует удалять, даже если Kaspersky CyberTrace Service и Feed Utility не планируется использовать на разных хостах.

Feed Utility можно установить на хост под управлением Linux. Для этого потребуется дистрибутив для Linux, который также содержит инструкцию по установке.

Работа Kaspersky CyberTrace Service и Feed Utility работают в демилитаризованной зоне (DMZ)

На следующей схеме показана работа как Kaspersky CyberTrace Service и Feed Utility в демилитаризованной зоне.

Рабочий процесс при установке Kaspersky CyberTrace Service и Feed Utility на разных хостах

Ограничения CyberTrace при работе в изолированной среде

Поскольку CyberTrace будет работать на хосте без прямого доступа в интернет, будут иметь место следующие ограничения работы CyberTrace:

• Отсутствует возможность обогащения графов из сторонних источников на локальном хосте CyberTrace.
• Для добавления потоков данных об угрозах настройки CyberTrace необходимо перенести с локального хоста на хост DMZ, изменить их там, а затем перенести обратно на локальный хост. Дополнительную информацию см. в разделе «Изменение параметров потоков данных об угрозах после установки Kaspersky CyberTrace Service и Feed Utility на разных хостах».

Установка Kaspersky CyberTrace Service и Feed Utility

Следующая процедура описывает порядок настройки хоста DMZ и локального хоста для установки Kaspersky CyberTrace Service на одном хосте (в этом разделе называется «локальным») и Feed Utility на другом хосте (в этом разделе называется «DMZ»).

Настройка хоста DMZ

Чтобы настроить хост DMZ, выполните следующие действия:

1. Установите CyberTrace на хосте DMZ для удобства настройки потоков данных об угрозах, которые предполагается загружать в CyberTrace в изолированной среде.
2. В мастере первоначальной настройки задайте необходимые параметры SIEM (имя, данные подключения).

   Эти настройки в дальнейшем будут использоваться для локального хоста.

   Также добавьте сертификат в формате PEM для настройки потоков данных об угрозах «Лаборатории Касперского», которые будут использоваться. Добавлять лицензионный ключ Kaspersky CyberTrace на хост DMZ не требуется, поскольку редакция Community позволяет настраивать все поддерживаемые типы потоков данных об угрозах. Добавление лицензионного ключа на локальном хосте является обязательным.

3. При необходимости добавьте или дополнительно настройте потоки данных об угрозах на странице Settings > Feeds после настройки в мастере первоначальной настройки.

   Убедитесь, что потоки данных об угрозах настроены правильно, для этого запустите обновление потоков данных об угрозах в CyberTrace хотя бы один раз.

4. Экспортируйте параметры из CyberTrace, для этого нажмите кнопку Export configuration files на странице Settings > Service.

   Если пользовательские потоки данных об угрозах были ранее настроены в Kaspersky CyberTrace, также сохраните файл httpsrv\etc\custom_feed_list.conf для дальнейшего использования.

5. Скопируйте каталог %service_dir%\dmz куда-либо кроме каталога %service_dir% (например, в каталог C:\Users\%UserName%).

   В дальнейшем путь к этому каталогу будет обозначаться как %dmz_fu%.

6. Удалите CyberTrace.

   Если потребуется добавить новые потоки данных об угрозах, CyberTrace можно будет снова установить на хосте DMZ.

7. Перенесите разделы Settings>Feeds и Settings>ProxySettings из экспортированного файла kl_feed_util.conf (см. шаг 4) в файл %dmz_fu%\kl_feed_util.conf (если раздел уже присутствует в целевом конфигурационном файле, замените этот раздел новыми данными).

   Не удаляйте экземпляр файла kl_feed_util.conf, экспортированный из CyberTrace, а также файл kl_feed_service.conf. Эти файлы будут использоваться на локальном хосте.

8. Укажите значение accepted в теге Settings > EULA в файле %dmz_fu%\kl_feed_util.conf.
9. Укажите <WorkDir>tmp_download</WorkDir> в разделе Settings/WorkDir файла %dmz_fu%\kl_feed_util.conf.
10. Добавьте файл %dmz_fu%\cron_dmz.cmd в список задач schtasks.

    Скрипт cron_dmz.cmd позволяет загружать потоки данных об угрозах на хост DMZ.

    В приведенном ниже примере скрипт cron_dmz.cmd выполняется один раз в 30 минут:

    schtasks /create /tn KasperskyFeedServiceUpdate /ru system /f /tr "\"%dmz_fu%\cron_dmz.cmd\"" /sc minute /mo 30

    Можно задать собственное расписание запуска скрипта.

Настройка локального хоста

Чтобы настроить локальный хост, выполните следующие действия:

1. Проверьте доступность хоста DMZ с локального хоста с помощью утилиты RSync (для этого выполните шаги из раздела «Синхронизация каталогов, содержащих потоки данных об угрозах»).
2. На локальном хосте установите CyberTrace той же версии, что была ранее установлена на хосте DMZ.
3. После установки остановите CyberTrace командой sc stop cybertrace.
4. Удалите файл %service_dir%\bin\.need_run_wizard.

   Это действие отключает мастер первоначальной настройки, поскольку настройка уже была выполнена на хосте DMZ.

5. Замените файлы %service_dir%\bin\kl_feed_util.conf и %service_dir%\bin\kl_feed_service.conf файлами, полученными на шаге 4 раздела «Настройка хоста DMZ».

   Если пользовательские потоки данных об угрозах ранее были настроены в Kaspersky CyberTrace, также замените файл httpsrv\etc\custom_feed_list.conf (или добавьте его, если он отсутствовал).

6. Откройте файл %service_dir%\bin\kl_feed_util.conf и задайте следующие параметры:
   • <NotifyKTFS path="../bin">true</NotifyKTFS>
   • <WorkDir>output</WorkDir>
   • <FeedsDir>../feeds/download</FeedsDir>
7. Выполните следующую настройку в файле %service_dir%\bin\kl_feed_service.conf:
   • Задайте настройки в следующих разделах:
     • Configuration>InputSettings>ConnectionString
     • Configuration>GUISettings>HTTPServer>ConnectionString
     • Configuration>GUISettings>HTTPServer>ResourcesIP
   • Задайте значение 0 в атрибуте update_frequency.

     Эта пользовательская настройка применяется, поскольку файлы потоков данных об угрозах, загруженные на хост DMZ, будут периодически синхронизироваться с помощью Schtasks, а не CyberTrace.

8. (Рекомендуется) Переименуйте файл %service_dir%\dmz\feeds.pem в feeds.pem.0, чтобы исключить некорректное обновление потоков данных об угрозах при нажатии кнопки Launch update now.
9. Откройте файл %service_dir%\scripts\cron_cybertrace.cmd и задайте следующие параметры:
   • RSYNC_USER (имя пользователя на хоста DMZ для авторизации).
   • RSYNC_HOST (имя хоста/IP-адрес хоста DMZ).
   • PATH_TO_FEEDS (путь к каталогу %dmz_fu%/download на хосте DMZ).
   • DOWNLOAD_DIR ("output").
   • SSH_KEY (убедитесь, что указан тот же путь к файлу ключа RSA, как и на шаге 1 раздела «Синхронизация каталогов, содержащих потоки данных об угрозах»).
10. Добавьте %service_dir%\scripts\cron_cybertrace.cmd в список задач cron.

    Скрипт cron_cybertrace.cmd запускает синхронизацию файлов потоков данных об угрозах с хоста DMZ. В следующем примере показано, что файл cron_dmz.cmd запускается один раз в 30 минут:

    schtasks /create /tn KasperskyFeedServiceUpdate /ru %user% /rp %password% /f /tr "%service_dir%\scripts\cron_cybertrace.cmd" /sc minute /mo 30

    Можно установить собственное расписание синхронизации.

11. Запустите CyberTrace.

    Выполните команду sc start cybertrace.

12. Откройте веб-интерйфейс CyberTrace в браузере (введите данные, указанные на шаге 7, в разделе Configuration>GUISettings>HTTPServer>ConnectionString).
13. Убедитесь, что настройки потоков данных об угрозах на странице Settings>Feeds похожи на соответствующие настройки на хосте DMZ.
14. На странице Settings>Feeds задайте значение Never для параметра Update frequency.
15. На странице Settings>Licensing добавьте лицензионный ключ.
16. Настройте прочие параметры, не связанные с обновлением потоков данных об угрозах.

Изменение параметров потоков данных об угрозах после установки Kaspersky CyberTrace Service и Feed Utility на разных хостах

Поскольку хост DMZ предназначен только для загрузки потоков данных об угрозах, следующие настройки можно задать для ранее включенных потоков данных об угрозах в CyberTrace на локальном хосте. Можно изменить следующие параметры потоков данных об угрозах:

• Значение confidence для потока данных об угрозах (кроме потоков данных об угрозах «Лаборатории Касперского»)
• Ограничение на количество обрабатываемых записей потока данных об угрозах
• Срок хранения (кроме потоков данных об угрозах «Лаборатории Касперского»)
• Доступные поля для потока данных об угрозах
• Правила фильтрации
• Поля контекста

Также можно отключить любой поток данных об угрозах, который ранее был включен (в этом случае отключенные потоки данных об угрозах продолжат загружаться на хост DMZ и передаваться на локальный хост, пока они не будут отключены в файле %dmz_fu%/kl_feed_util.conf).

Параметры прокси-сервера можно настроить непосредственно в файле %dmz_fu%\kl_feed_util.conf на хосте DMZ.

При необходимости можно добавить новый поток данных об угрозах, как описано ниже.

Если какой-либо поток данных об угрозах был ранее отключен на локальном хосте, загрузка данных об угрозах на хосте DMZ прекратится после выполнения следующих действий.

Чтобы добавить новый поток данных об угрозах, выполните следующие действия:

1. На локальном хосте:
   1. Экспортируйте текущие настройки из CyberTrace, для этого нажмите кнопку Export configuration files на странице Settings>Service.

      Если пользовательские потоки данных об угрозах были ранее настроены в Kaspersky CyberTrace, также сохраните файл httpsrv\etc\custom_feed_list.conf для дальнейшего использования.

   2. Остановите сервис CyberTrace.

      Выполните команду sc stop cybertrace.

2. На хосте DMZ:
   1. Установите ту же версию CyberTrace, что и на локальном хосте.

      Если во время первоначальной настройки CyberTrace на узле DMZ не удалялся, пропустите этот шаг.

   2. Остановите сервис CyberTrace.

      Выполните команду sc stop cybertrace.

   3. Удалите файл %service_dir%/bin/.need_run_wizard.

      Если во время первоначальной настройки CyberTrace на узле DMZ не удалялся, пропустите этот шаг.

   4. Замените файлы %service_dir%\bin\kl_feed_service.conf и %service_dir%\bin\kl_feed_util.conf файлами, экспортированными с локального хоста на шаге 1 выше.

      Если пользовательские потоки данных об угрозах ранее были настроены в Kaspersky CyberTrace, также замените файл httpsrv\etc\custom_feed_list.conf (или добавьте его, если он отсутствовал).

      Укажите правильную строку Configuration>GUISettings>HTTPServer>ConnectionString, чтобы открыть веб-интерфейс CyberTrace в браузере.

   5. Запустите сервис CyberTrace.

      Выполните команду sc start cybertrace.

   6. Добавьте и настройте новые потоки данных об угрозах с помощью веб-интерфейса CyberTrace Web по адресу, указанному в параметре Configuration/GUISettings/HTTPServer/ConnectionString в файле %service_dir%\bin\kl_feed_service.conf.

      Убедитесь, что потоки данных об угрозах настроены правильно, для этого запустите обновление потоков данных об угрозах в CyberTrace хотя бы один раз.

   7. Экспортируйте обновленные настройки из CyberTrace, для этого нажмите кнопку Export configuration files на странице Settings>Service.

      Если пользовательские потоки данных об угрозах были ранее настроены в Kaspersky CyberTrace, также сохраните файл httpsrv\etc\custom_feed_list.conf для дальнейшего использования.

   8. Удалите CyberTrace.
   9. Переместите (с заменой) разделы Settings/Feeds и Settings/ProxySettings из экспортированного файла kl_feed_util.conf в файл %dmz_fu%\kl_feed_util.conf.

   Не удаляйте экземпляр файла kl_feed_util.conf, экспортированный из CyberTrace, как и kl_feed_service.conf. Эти файлы будут использоваться на локальном хосте.

3. На локальном хосте:
   1. Замените файлы %service_dir%\bin\kl_feed_service.conf и %service_dir%\bin\kl_feed_util.conf файлами, экспортированными с хоста DMZ.

      Если пользовательские потоки данных об угрозах ранее были настроены в Kaspersky CyberTrace, также замените файл httpsrv\etc\custom_feed_list.conf (или добавьте его, если он отсутствовал).

      Укажите правильную строку Configuration>GUISettings>HTTPServer>ConnectionString, чтобы открыть веб-интерфейс CyberTrace в браузере.

   2. Запустите сервис CyberTrace.

      Выполните команду sc start cybertrace.

   3. Откройте веб-интерфейс CyberTrace по адресу, указанному в параметре Configuration>GUISettings>HTTPServer>ConnectionString, и убедитесь, что страница Settings>Feeds содержит только что добавленный поток данных об угрозах и его настройки аналогичны настройкам на хосте DMZ. Также убедитесь, что все остальные потоки данных об угрозах настроены правильно.
   4. На странице Settings>Feeds для параметра Update frequency установите значение Never.

Синхронизация каталогов, содержащих потоки данных об угрозах

Для синхронизации потоков данных об угрозах на локальном хосте и на хосте DMZ можно использовать утилиту RSync. На хосте с ОС Windows утилиту RSync можно запустить с помощью Cygwin.

Все приведенные ниже команды Linux на хостах с Windows следует запускать с помощью Cygwin.

Чтобы установить утилиту RSync на хост с ОС Windows:

1. Установите набор пакетов по умолчанию из дистрибутива Cygwin.
2. Установите следующие утилиты: OpenSSH, OpenSSL и RSync.
3. На хосте DMZ настройте компоненты OpenSSH следующим образом:
   1. Выполните следующую команду как root:

      ssh-host-config

      На все вопросы можно ответить Yes. Смысл операции в том, чтобы запустить демон sshd как сервис.

   2. Выполните следующую команду:

      net start sygsshd

Демон sshd автоматически запустится.

Чтобы настроить синхронизацию на локальном хосте, выполните следующие действия:

1. Создайте закрытый ключ и соответствующий открытый ключ.

   Для этого выполните на локальном хосте следующую команду:

   ssh-keygen -t rsa -q -N '' -f /home/<user>/.ssh/dmz_rsa_key

   Укажите логин пользователя вместо <user>. Ключи будут созданы без пароля.

2. Скопируйте открытый ключ с локального хоста на хост DMZ, для этого выполните следующую команду:

   ssh-copy-id -i /home/<user>/.ssh/dmz_rsa_key <DMZ_user>@<DMZ_host>

   После запуска этой команды предлагается ввести пароль для <DMZ_user>@<DMZ_host>.

3. Проверьте синхронизацию содержимого каталогов, содержащих потоки данных об угрозах, для этого выполните следующую команду на локальном хосте:

   rsync -a --delete-before --delay-updates -e "ssh -i /home/<user>/.ssh/dmz_rsa_key" <DMZ_user>@<DMZ_host>:/<Path_to_feeds>/ /<Path_to_feeds_on_Local>/

   В этой команде <Path_to_feeds_on_Local> — это путь к папке, содержащей потоки данных об угрозах на локальном хосте (а именно, %service_dir%/feeds), а <Path_to_feeds> — это путь к папке, в которой хранятся обновленные потоки данных об угрозах на хосте DMZ.

   Чтобы проверка синхронизации была пройдена, содержимое папки <Path_to_feeds_on_Local> на локальном хосте должно совпадать с содержимым папки <Path_to_feeds> на хосте DMZ.

При тестировании Rsync с помощью Cygwin могут возникнуть проблемы, связанные с символами пробела в пути, поэтому рекомендуется принять следующие меры:

1. Путь к каталогу на хосте DMZ следует указывать в кавычках и экранировать пробел ("\ ").
2. Следует экранировать пробел ("\ ") в пути к каталогу на локальном хосте.

Чтобы перейти к каталогу на диске C:\ с помощью Cygwin, необходимо указать путь /cygdrive/c/, а далее обычный путь (/cygdrive/c/Users/...).

Обновление CyberTrace с предыдущей версии

Чтобы обновить CyberTrace и Feed Utility до более новых версий, выполните следующие действия:

1. Обновите CyberTrace на локальном хосте, как описано в разделе Автоматическое обновление в ОС Windows.
2. Переместите файл kl_feed_util.exe из каталога %service_dir%\dmz на локальном хосте в %dmz_fu%\kl_feed_util на хосте DMZ.