Настройка обогащения событий и ретроспективного сканирования

Интеграция KUMA с Kaspersky CyberTrace (далее CyberTrace) версии 5.0 и выше позволяет обогащать события информацией об индикаторах компрометации (IoC) и выполнять ретроспективное сканирование (ретроспективную проверку) событий. Ретроспективное сканирование помогает выявить индикаторы, которые не были обнаружены в момент первичного обогащения, но появились позднее в обновленных потоках данных CyberTrace. Ретроспективное сканирование может использоваться в следующих случаях:

Инцидент уже произошел, но его признаки стали известны только после обновления потоков данных.
Вы хотите перепроверить сохраненные события на наличие новых угроз.

Чтобы настроить обогащение данных и ретроспективное сканирование:

Выполните первоначальную настройку в KUMA, выполнив следующие шаги:
1. Настройте интеграцию с CyberTrace.
2. Создайте два коллектора для получения событий, которые вы хотите обогатить данными из CyberTrace:
  - Для приема оповещений о срабатывании индикаторов от CyberTrace создайте коллектор, в котором в качестве транспорта используется коннектор с типом tcp, а в качестве нормализатора используется [OOTB] CyberTrace.
  - Для настройки обогащения событий создайте коллектор со следующими параметрами:
    - В качестве транспорта выберите любой коннектор (например, http).
    - В качестве метода нормализации выберите любой метод (например, json) с сопоставлением следующих полей: SourceHostName, DestinationHostName, Message, DeviceHostName, DeviceAddress, FileHash, OldFileHash, RequestUrl.
    - В качестве обогащения создайте правило обогащения событий, в котором тип источника данных – cybertrace-http, указана версия CyberTrace ≥ 5.0, и в раскрывающемся списке Ключевые поля выбраны следующие поля нормализатора: SourceHostName, DestinationHostName, Message, DeviceHostName, DeviceAddress, FileHash, OldFileHash, RequestUrl.
Выполните настройку ретроспективного сканирования в веб-интерфейсе CyberTrace, выполнив следующие шаги:
1. В разделе Настройка → Общие включите API lookup, чтобы сохранять обнаруженные индикаторы и собирать по ним статистику при использовании запроса к публичному API.
2. В разделе Настройка → Ретроскан включите ретроспективное сканирование, а затем откройте вкладку Регулярные выражения и включите те источники и их регулярные выражения, которые требуется использовать для ретроспективной проверки.
3. В разделе Настройка → Общие в блоке параметров Оповещения об обнаружении индикаторов компрометации укажите IP-адрес и порт, которые будут использоваться в CyberTrace для отправки оповещений об обнаружении индикаторов компрометации.
4. В разделе Настройка → Общие в блоке параметров Служебные оповещения настройте отправку служебных оповещений CyberTrace (например, об окончании выполнения задачи ретроспективного сканирования или замене лицензионного ключа), указав IP-адрес коллектора и порт TCP-коннектора KUMA.
Подробнее о настройке ретроспективного сканирования см. справку Kaspersky CyberTrace.

Этапы обработки событий в процессе ретроспективного сканирования

Ретроспективное сканирование позволяет выявлять индикаторы компрометации, которые не были известны на момент получения события, но стали доступны позже после обновления потоков данных Kaspersky CyberTrace.

Алгоритм работы ретроспективного сканирования состоит из следующих этапов:

Отправка события в CyberTrace
В коллектор CyberTrace, настроенный на прием событий для обогащения, поступает событие, содержащее индикаторы. Эти индикаторы на момент получения могут отсутствовать в активных потоках данных.

Пример события:

{

"SourceHostName": "45.54.64.52",

"DestinationHostName": "geardox.site",

"Message": "5BA7335AD847E5ED6211FB27094B9855",

"DeviceHostName": "test.domain.ru",

"DeviceAddress": "5.8.16.77",

"FileHash": "E1B85D995DC09DE25603D0B7A67D998015F6C045",

"OldFileHash": "B276263D373A6B56EEAB09673429E1490AEFC5E14738CDF9E1661C36EBD80656",

"RequestUrl": "https://kaspersky.com/"

}
Сохранение события в базе данных CyberTrace
Если используется интеграция по TCP, CyberTrace извлекает индикаторы из события с помощью регулярных выражений. При интеграции через REST API (с использованием API lookup) индикаторы передаются непосредственно в теле запроса. Если на момент обработки индикатора в потоках данных отсутствует информация, позволяющая его классифицировать, CyberTrace сохраняет индикатор в базу данных ретроспективного сканирования для последующего анализа при обновлении потоков данных.
Запуск задачи ретроспективного сканирования
Задача ретроспективного сканирования может запускаться по расписанию или вручную. Чтобы запустить ретроспективное сканирование вручную, перейдите на страницу Система→ Ретроскан и нажмите Начать сейчас.
Обнаружение индикаторов при обновлении потоков данных
Если в процессе обновления в потоках данных появились индикаторы, совпадающие с ранее сохраненными событиями, CyberTrace при выполнении задачи ретроспективного сканирования обнаружит такие совпадения.
Формирование алертов по результатам ретроспективного сканирования
После завершения ретроспективного сканирования CyberTrace формирует оповещения об обнаружении индикаторов компрометации и направляет их в коллектор KUMA.

Пример оповещения:

Category=KUMA_Demo_1_Hash_SHA1|MatchedIndicator=E1B85D995DC09DE25603D0B7A67D998015F6C045|MD5=5BA7335AD847E5ED6211FB27094B9855|SHA1=E1B85D995DC09DE25603D0B7A67D998015F6C045|SHA256=B276263D373A6B56EEAB09673429E1490AEFC5E14738CDF9E1661C36EBD80656|file_names=draft_pi.exe|file_size=759296|file_type=PE|first_seen=02.12.2020 05:34|geo=bd, eg, in|last_seen=02.02.2021 11:36|popularity=2|threat=HEUR:Trojan.MSIL.Taskun.gen
Обработка события в KUMA
Событие обрабатывается нормализатором [OOTB] CyberTrace. Пользователь может сопоставить полученное оповещение с исходным событием для последующего анализа.
Получение служебного оповещения о завершении задачи
Если в CyberTrace настроена отправка служебных оповещений, CyberTrace отправит уведомление о завершении задачи ретроспективного сканирования.

Пример оповещения:

Jun 05 16:08:33 alert=KL_ALERT_RetroScanCompleted|iocs_detected=168|iocs_rescanned=1511177|retroscan_report=https://127.0.0.1/retroscan/C4C76046-C2DF-4AED-B430-2E64AEF781FC

В начало