Рекомендации по использованию Log Scanner

27 февраля 2024

ID 171647

Рекомендуется использовать Kaspersky CyberTrace Service вместе с Log Scanner в следующих случаях:

  • Необходимо проверить несколько файлов журналов и сохранить результат проверки в файл.

    Это может быть удобно при расследовании инцидентов информационной безопасности, когда используемое решение SIEM недоступно или решения SIEM не используются.

  • Необходимо проверить несколько файлов журналов и отправить результаты проверки в используемое решение SIEM.

Настройка Kaspersky CyberTrace Service и Log Scanner

Kaspersky CyberTrace Service и Log Scanner должны взаимодействовать правильным образом, поэтому необходимо обеспечить взаимное соответствие их параметров:

  • Порт, заданный в элементе Settings > Connection конфигурационного файла Log Scanner, должен соответствовать порту, указанному в элементе InputSettings > ConnectionString конфигурационного файла Kaspersky CyberTrace Service.
  • Количество потоков, указанное в элементе Settings > ThreadsCount конфигурационного файла Log Scanner, должно быть меньше, чем количество, указанное в элементе ServiceSettings > ScannersCount конфигурационного файла Kaspersky CyberTrace Service.
  • Данные, отправляемые Log Scanner в Kaspersky CyberTrace Service — либо строки файлов журналов, либо строки, созданные на основе элемента конфигурационного файла Log Scanner Settings > Pattern — должны поддаваться парсингу с помощью регулярных выражений, указанных в элементе Configuration > InputSettings > RegExps конфигурационного файла Kaspersky CyberTrace Service.

Примеры конфигурационных файлов

Ниже приведен отрывок из примера конфигурационного файла Kaspersky CyberTrace Service.

<Configuration>

<InputSettings>

<RegExps>

<Source id="default">

<!--You can use them in the OutputSettings->EventFormat string with the pattern %REGEXPNAME%-->

...

<RE_MD5>md5=(.*?)(?:$|\s)</RE_MD5>

<RE_SHA1>sha1=(.*?)(?:$|\s)</RE_SHA1>

<RE_SHA256>sha256=(.*?)(?:$|\s)</RE_SHA256>

<RE_URL>url=(.*?)(?:$|\s)</RE_URL>

<RE_IP>ip=(.*?)(?:$|\s)</RE_IP>

</Source>

</RegExps>

<ConnectionString>127.0.0.1:9999</ConnectionString> <!-- <ip>:<port>. Threat Feed Service listens for <ip>:<port>. <port> must be available -->

</InputSettings>

 

<Feeds per_scan_detect_limit="10000">...</Feeds>

 

<OutputSettings>

...

<FinishedEventFormat>LookupFinished</FinishedEventFormat>

</OutputSettings>

 

<ServiceSettings>

...

<ScannersCount>9</ScannersCount> <!-- 1 tcp connection = 1 scanner -->

</ServiceSettings>

</Configuration>

Ниже приведен отрывок из конфигурационного файла Log Scanner, который соответствует конфигурационному файлу Kaspersky CyberTrace Service, приведенному выше.

<Settings>

...

<ThreadsCount>8</ThreadsCount>

<Pattern>ip=%IP% md5=%MD5% sha1=%SHA1% sha256=%SHA256% url=%URL%</Pattern>

<Connection>127.0.0.1:9999</Connection>

</Settings>

При использовании этих конфигурационных файлов Log Scanner отправляет запросы на IP-адрес 127.0.0.1 и порт 9999, а Kaspersky CyberTrace Service прослушивает порт 9999 для получения данных на проверку. Как Log Scanner, так и Kaspersky CyberTrace Service используют до восьми потоков для передачи и обработки данных (Kaspersky CyberTrace Service использует один из потоков для механизма проверки работоспособности). Если в Kaspersky CyberTrace Service отправляются корректные URL, IP-адреса и хеши, они будут проходить парсинг с использованием регулярных выражений, указанных в конфигурационном файле Kaspersky CyberTrace Service.

Работа с результатами проверки

После того, как данные будут проверены Kaspersky CyberTrace Service, можно отправить результаты проверки в целевое программное обеспечение или сохранить их в файл:

  • Для отправки результатов проверки в целевое программное обеспечение задайте правильное значение элемента OutputSettings > ConnectionString в конфигурационном файле Kaspersky CyberTrace Service.
  • Чтобы сохранить результаты проверки в файл, передайте параметр -r при запуске Log Scanner из командной строки следующим образом:

    ./log_scanner -r -p file_to_check (в Linux)

    log_scanner.exe -r -p file_to_check (в Windows)

    Значение атрибута enable элемента OutputSettings > FinishedEventFormat в конфигурационном файле Kaspersky CyberTrace Service не должно быть false.

Пример отчета

Содержание отчета зависит от значения элемента OutputSettings > EventFormat в конфигурационном файле Kaspersky CyberTrace Service.

Ниже приведен пример отчета, отправляемого из Kaspersky CyberTrace Service в Log Scanner.

- KL_Data_Feed_Service_v1 LEEF:1.0|Kaspersky Lab|SIEM Service|1.0|KL_Malicious_URL|url=malicious_domain_21.com/folder/load.php?| IP=91.202.63.117, 196.254.10.200, 194.190.253.19, 185.56.137.11, 178.62.5.157, 173.194.222.211, 159.253.145.183, 87.250.250.135, 82.145.209.252, 74.125.205.211 first_seen=11.01.2016 07:17 geo=ru, ua, kz, by, de, ro, az, cz, uz, md id=9491494 last_seen=14.01.2016 13:36 mask=malicious_domain_21.com/folder/load.php?* popularity=5 type=21

Total number of objects sent to KTFS: 1

Total number of detects received from KTFS: 1

Total scan time: 00:00:01.032

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!