Интеграция с Kaspersky CyberTrace

Kaspersky CyberTrace (далее CyberTrace) – это инструмент, который объединяет потоки данных об угрозах с решениями SIEM. Он обеспечивает пользователям мгновенный доступ к данным аналитики, повышая их осведомленность при принятии решений, связанных с безопасностью.

Вы можете интегрировать CyberTrace с KUMA одним из следующих способов:

• Интегрировать функцию поиска индикаторов CyberTrace для обогащения событий KUMA информацией потоков данных CyberTrace.
• Интегрировать в KUMA веб-интерфейс CyberTrace целиком, чтобы обеспечить полный доступ к CyberTrace.

  Интеграция с веб-интерфейсом CyberTrace доступна только для лицензии CyberTrace TIP Enterprise.

Интеграция поиска по индикаторам CyberTrace

Чтобы выполнить интеграцию поиска по индикаторам CyberTrace, следует выполнить следующие шаги:

1. Настроить CyberTrace для приема и обработки запросов от KUMA.

   Вы можете настроить интеграцию с KUMA сразу после установки CyberTrace в мастере первоначальной настройки или позднее в веб-интерфейсе CyberTrace.

2. Создать правила обогащения событий в KUMA.

   В правиле обогащения вы можете указать, какими данными из CyberTrace вы хотите дополнить событие. В качестве типа источника данных рекомендуется выбрать cybertrace-http.

3. Создать коллектор для получения событий, которые вы хотите обогатить данными из CyberTrace.
4. Привязать правило обогащения к коллектору.
5. Сохранить и создать сервис:
   • Если вы привязали правило к новому коллектору, нажмите Сохранить и создать, в открывшемся окне скопируйте идентификатор коллектора и используйте скопированный идентификатор для установки коллектора на сервере через интерфейс командной строки.
   • Если вы привязали правило к уже существующему коллектору, нажмите Сохранить и перезапустить сервисы, чтобы применить параметры.

   Настройка интеграции поиска по индикаторам CyberTrace завершена и события KUMA будут обогащаться данными из CyberTrace.

Пример проверки обогащения данными из CyberTrace.

Настройка CyberTrace для приема и обработки запросов

Вы можете настроить CyberTrace для приема и обработки запросов от KUMA сразу после установки в мастере первоначальной настройки или позднее в веб-интерфейсе программы.

Чтобы настроить CyberTrace для приема и обработки запросов в мастере первоначальной настройки:

1. Дождитесь запуска мастера первоначальной настройки CyberTrace после установки программы.

   Откроется окно Welcome to Kaspersky CyberTrace.

2. В раскрывающемся списке <select SIEM> выберите KUMA, и нажмите на кнопку Next.

   Откроется окно Connection settings.

3. Выполните следующие действия:
   1. В блоке параметров Service listens on выберите вариант IP and port.
   2. В поле IP address введите 0.0.0.0.
   3. В поле Port введите укажите порт для получения событий, порт по умолчанию 9999.
   4. В блоке параметров Service sends events to в поле IP address or hostname укажите 127.0.0.1 и в поле Port укажите 9998.

      Остальные значения оставьте по умолчанию.

   5. Нажмите на кнопку Next.

   Откроется окно Proxy settings.

4. Если в вашей организации используется прокси-сервер, укажите параметры соединения с ним. Если нет, оставьте все поля незаполненными и нажмите на кнопку Next.

   Откроется окно Licensing settings.

5. В поле Kaspersky CyberTrace license key добавьте лицензионный ключ для программы CyberTrace.
6. В поле Kaspersky Threat Data Feeds certificate добавьте сертификат, позволяющий скачивать с серверов обновлений списки данных (data feeds), и нажмите на кнопку Next.

CyberTrace будет настроен.

Чтобы настроить CyberTrace для приема и обработки запросов в веб-интерфейсе программы:

1. В окне веб-интерфейса программы CyberTrace выберите раздел Settings – Service.
2. В блоке параметров Connection Settings выполните следующие действия:
   1. Выберите вариант IP and port.
   2. В поле IP address введите 0.0.0.0.
   3. В поле Port укажите порт для приема событий, порт по умолчанию 9999.
3. В блоке параметров Web interface в поле IP address or hostname введите 127.0.0.1.
4. В верхней панели инструментов нажмите на кнопку Restart the CyberTrace Service.
5. Выберите раздел Settings – Events format.
6. В поле Alert events format введите %Date% alert=%Alert%%RecordContext%.
7. В поле Detection events format введите Category=%Category%|MatchedIndicator=%MatchedIndicator%%RecordContext%.
8. В поле Records context format введите |%ParamName%=%ParamValue%.
9. В поле Actionable fields context format введите %ParamName%:%ParamValue%.

CyberTrace будет настроен.

После обновления конфигурации CyberTrace требуется перезапустить сервер CyberTrace.

Создание правил обогащения событий

Чтобы создать правила обогащения событий:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Правила обогащения и в левой части окна выберите или создайте папку, в которую требуется поместить новое правило.

   Отобразится список доступных правил обогащения.

2. Нажмите на кнопку Добавить правило обогащения, чтобы создать новое правило.

   Откроется окно правила обогащения.

3. Укажите параметры правила обогащения:
   1. В поле Название введите уникальное имя правила. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   2. В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
   3. В раскрывающемся списке Тип источника данных выберите cybertrace-http.
   4. Укажите URL сервера CyberTrace, к которому вы хотите подключиться. Например, example.domain.com:9999.
   5. При необходимости укажите в поле Количество подключений максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
   6. В поле Запросов в секунду введите количество запросов к серверу CyberTrace, которое сможет выполнять KUMA в секунду. Значение по умолчанию: 1000.
   7. В поле Время ожидания укажите время в секундах, в течение которого KUMA должна ожидать ответа от сервера CyberTrace. Событие не будет отправлено в коррелятор, пока не истечет время ожидания или не будет получен ответ. Если ответ получен до истечения времени ожидания, он добавляется в поле события TI, и обработка события продолжается. Значение по умолчанию: 30.
   8. В блоке параметров Сопоставление требуется указать поля событий, которые следует отправить в CyberTrace на проверку, а также задать правила сопоставления полей событий KUMA с типами индикаторов CyberTrace:
      • В столбце Поле KUMA выберите поле, значение которого требуется отправить в CyberTrace.
      • В столбце Индикатор CyberTrace выберите тип индикатора CyberTrace для каждого выбранного поля:
        • ip
        • url
        • hash

      В таблице требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки – удалить.

   9. С помощью переключателя Отладка укажите, следует ли включить логирование операций сервиса. По умолчанию логирование выключено.
   10. При необходимости в поле Описание добавьте до 4000 символов в кодировке Unicode.
   11. В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться с применением правила обогащения. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

       Создание фильтра в ресурсах

       Чтобы создать фильтр:

       1. В раскрывающемся списке Фильтр выберите Создать.
       2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
       3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
       4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
          1. Нажмите на кнопку Добавить условие.
          2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
          3. В раскрывающемся списке оператор выберите оператор.

             Операторы фильтров

             • = – левый операнд равен правому операнду.
             • < – левый операнд меньше правого операнда.
             • <= – левый операнд меньше или равен правому операнду.
             • > – левый операнд больше правого операнда.
             • >= – левый операнд больше или равен правому операнду.
             • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
             • contains – левый операнд содержит значения правого операнда.
             • startsWith – левый операнд начинается с одного из значений правого операнда.
             • endsWith – левый операнд заканчивается одним из значений правого операнда.
             • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
             • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

               Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

               Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

             • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

               Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

             • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
             • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
             • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
             • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
             • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
             • inContextTable – присутствует ли в указанной контекстной таблице запись.
             • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
          4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
          5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

          Вы можете добавить несколько условий или группу условий.

       5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
       6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
4. Нажмите Сохранить.

Создано правило обогащения.

Интеграция поиска по индикаторам CyberTrace настроена. Созданное правило обогащения можно добавить к коллектору. Требуется перезапустить коллекторы KUMA, чтобы применить новые параметры.

Если какие-либо из полей CyberTrace в области деталей события содержат "[{" или "}]", это означает, что информация из потока данных об угрозах из CyberTrace была обработана некорректно и некоторые данные, возможно, не отображаются. Информацию из потока данных об угрозах можно получить, скопировав из события KUMA значение поля TI indicator событий и выполнив поиск по этому значению на портале CyberTrace в разделе индикаторов. Вся информация будет отображаться в разделе CyberTrace Indicator context.

Интеграция интерфейса CyberTrace

Вы можете интегрировать веб-интерфейс CyberTrace в веб-интерфейс KUMA. Когда эта интеграция включена, в веб-интерфейсе KUMA появляется раздел CyberTrace с доступом к веб-интерфейсу CyberTrace. Вы можете настроить интеграцию в разделе Параметры → Kaspersky CyberTrace веб-интерфейса KUMA.

Чтобы интегрировать веб-интерфейс CyberTrace в KUMA:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите на кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс используется для хранения учетных данных для подключения к серверу CyberTrace.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название выберите имя для добавляемого секрета. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   2. В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
   3. В раскрывающемся списке Тип выберите credentials.
   4. В полях Пользователь и Пароль введите учетные данные для вашего сервера CyberTrace.
   5. При необходимости в поле Описание добавьте до 4000 символов в кодировке Unicode.
4. Нажмите Сохранить.

   Учетные данные сервера CyberTrace сохранены и могут использоваться в других ресурсах KUMA.

5. Откройте раздел веб-интерфейс KUMA Параметры → Kaspersky CyberTrace.

   Откроется окно с параметрами интеграции CyberTrace.

6. Измените необходимые параметры:
   • Выключено – снимите этот флажок, если хотите включить интеграцию веб-интерфейса CyberTrace в веб-интерфейс KUMA.
   • Адрес сервера (обязательно) – введите адрес сервера CyberTrace.
   • Порт (обязательно) – введите порт сервера CyberTrace, порт для доступа к веб-интерфейсу по умолчанию 443.
7. В раскрывающемся списке Секрет выберите секрет, который вы создали ранее.
8. Вы можете настроить доступ к веб-интерфейсу CyberTrace следующими способами:
   • Использовать hostname или IP при входе в веб-интерфейс KUMA.

     Для этого в разделе Разрешить хосты нажмите Добавить хост и в появившемся поле укажите IP или hostname устройства,

     на котором развернут веб-интерфейс KUMA.

   • Использовать FQDN при входе в веб-интерфейс KUMA.

     Если для работы в веб-интерфейсе программы вы используете браузер Mozilla Firefox, данные в разделе CyberTrace могут не отображаться. В таком случае настройте отображение данных (см. ниже).

9. Нажмите Сохранить.

CyberTrace теперь интегрирован с KUMA: раздел CyberTrace отображается в веб-интерфейсе KUMA.

Чтобы настроить отображение данных в разделе CyberTrace при использовании FQDN для входа в KUMA в Mozilla Firefox:

1. Очистите кеш браузера.
2. В строке браузера введите FQDN веб-интерфейса KUMA с номером порта 7222: https://kuma.example.com:7222.

   Отобразится окно с предупреждением о вероятной угрозе безопасности.

3. Нажмите на кнопку Подробнее.
4. В нижней части окна нажмите на кнопку Принять риск и продолжить.

   Для URL-адреса веб-интерфейса KUMA будет создано исключение.

5. В строке браузера введите URL-адрес веб-интерфейса KUMA с номером порта 7220.
6. Перейдите в раздел CyberTrace.

Данные отобразятся в разделе.

Обновление списка запрещенных объектов CyberTrace (Internal TI)

Если веб-интерфейс CyberTrace интегрирован в веб-интерфейс KUMA, можно обновлять список запрещенных объектов CyberTrace или Internal TI данными из событий KUMA.

Чтобы обновить Internal TI в CyberTrace:

1. Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла.

   Откроется контекстное меню.

2. Выберите Добавить в Internal TI CyberTrace.

Выбранный объект добавлен в список запрещенных объектов в CyberTrace.