Kaspersky Unified Monitoring and Analysis Platform

Настройка CyberTrace для приема и обработки запросов

Вы можете настроить CyberTrace для приема и обработки запросов от KUMA сразу после установки в мастере первоначальной настройки или позднее в веб-интерфейсе программы.

Чтобы настроить CyberTrace для приема и обработки запросов в мастере первоначальной настройки:

1. Дождитесь запуска мастера первоначальной настройки CyberTrace после установки программы.

   Откроется шаг 1 Добро пожаловать в Kaspersky CyberTrace. Переход между шагами мастера осуществляется с помощью кнопки Далее.

2. На шаге 2 Настройка прокси-сервера, если в вашей организации используется прокси-сервер, укажите параметры соединения с ним. Если в вашей организации не используется прокси-сервер, оставьте все поля незаполненными.
3. На шаге 3 Настройка лицензирования выберите метод добавления лицензионного ключа для программы CyberTrace: с помощью кода активации или с помощью файла лицензионного ключа. В зависимости от выбранного метода укажите код активации или загрузите файл лицензионного ключа.
4. На шаге 4 Настройка сервиса оставьте значения по умолчанию.
5. На шаге 5 Настройка управления данными выполните следующие действия:
   1. В раскрывающемся списке SIEM-система выберите KUMA.
   2. В блоке параметров Прослушивать выберите вариант IP-адрес и порт.
   3. В поле IP-адрес укажите 0.0.0.0.
   4. В поле Порт укажите порт для получения событий. Порт по умолчанию 9999.
   5. В блоке параметров Отправлять оповещения об обнаружении индикаторов компрометации в поле IP-адрес укажите 127.0.0.1 и в поле Порт укажите 9998.

   Остальные значения оставьте по умолчанию.

6. На шаге 6 Настройка сертификата выберите опцию Коммерческий сертификат и добавьте сертификат, позволяющий скачивать с серверов обновлений потоки данных (data feeds).
7. На шаге 7 Настройка потоков данных оставьте значения по умолчанию.

CyberTrace настроен.

Чтобы настроить CyberTrace для приема и обработки запросов в веб-интерфейсе программы:

1. В окне веб-интерфейса программы CyberTrace перейдите в режим Управление данными: в левом меню выберите пункт Система, а затем в появившемся меню выберите пункт General.
2. Выберите раздел Настройка → Общие.
3. В блоке параметров Прослушивать выполните следующие действия:
   1. Выберите вариант IP-адрес и порт.
   2. В поле IP-адрес введите 0.0.0.0.
   3. В поле Порт укажите порт для приема событий. Порт по умолчанию 9999.
4. Выберите раздел Настройка → Служебные оповещения.
5. В поле Формат служебных оповещений введите %Date% alert=%Alert%%RecordContext%.
6. В поле Формат контекста записей введите |%ParamName%=%ParamValue%.
7. Выберите раздел Настройка → Оповещения об обнаружении индикаторов компрометации.
8. В поле Формат оповещения введите Category=%Category%|MatchedIndicator=%MatchedIndicator%%RecordContext%.
9. На вкладке Контекст в поле Поля контекста введите %ParamName%:%ParamValue%.
10. Перейдите в режим Управление системой: в левом меню выберите пункт General, а затем в появившемся меню выберите пункт Система.
11. Выберите раздел Настройка → Сервис.
12. В блоке параметров Веб-интерфейс в поле IP-адрес или имя хоста введите 127.0.0.1.
13. В верхней панели инструментов нажмите на кнопку Перезапустить сервис.
14. Перезапустите сервер CyberTrace.

CyberTrace настроен.