Системные требования Kaspersky CyberTrace зависят от выбранного режима использования и от количества обрабатываемых событий в секунду (EPS). Ниже приведена таблица с минимальными системными требованиями для трех наиболее распространенных режимов.

Системные требования для более высоких значений EPS и описания режимов использования смотрите в справке.

Для установки CyberTrace на ОС Linux используйте пакет RPM или DEB.

1. Распакуйте архив с CyberTrace во временный каталог:
   • для пакета RPM:
     tar -C /opt -xvzf CyberTrace-rpm.tar.gz --no-same-owner
   • для пакета DEB:
     tar -C /opt -xvzf CyberTrace-deb.tar.gz --no-same-owner
2. Перейдите в каталог с распакованным содержимым архива:
   
   cd /opt/cybertrace
3. Запустите скрипт установки:
   
   ./run.sh install
4. Примите Лицензионное соглашение (EULA) в открывшемся конфигураторе и дождитесь завершения его работы.
   Если конфигуратор не сможет автоматически определить порты для веб-интерфейса CyberTrace и базы данных Elastic, укажите их вручную.
5. Войдите в веб-интерфейс CyberTrace.
   Для доступа к предустановленной учетной записи используйте имя пользователя «admin» и пароль «CyberTrace!1».

Вы можете настроить CyberTrace для интеграции с KUMA сразу после установки в мастере первоначальной настройки или позднее в веб-интерфейсе приложения.

Как настроить CyberTrace через мастер первоначальной настройки

1. Дождитесь открытия мастера: оно происходит автоматически при первом запуске CyberTrace.
2. Выберите KUMA в раскрывающемся списке select SIEM и нажмите Next, чтобы открыть окно Connection Settings.
3. Выберите IP and port в группе переключателей Service listens on.
4. Пропишите IP-адрес CyberTrace в поля IP address в блоке полей Service listens on и Service sends events to.
5. Заполните значения полей Port:
   • 9999 в блоке полей Service listens on;
   • 9998 в блоке полей Service sends events to.
6. Нажмите Next.
7. Оставьте незаполненными все поля в открывшемся окне Proxy Settings и нажмите Next, чтобы открыть окно Licensing Settings.
8. Добавьте лицензионный ключ CyberTrace в поле Лицензионный ключ Kaspersky CyberTrace.
9. Добавьте сертификат, позволяющий скачивать с серверов обновлений списки данных, в поле Сертификат Kaspersky Threat Data Feeds и нажмите Next.

Как настроить CyberTrace через веб-интерфейс

1. Откройте блок Settings → Service → Connection Settings.

2. Выберите IP and port в группе переключателей Service listens on.

3. Пропишите IP-адрес CyberTrace в поля IP address в блоках полей Service listens on и Service sends events to.

4. Заполните значения полей Port:
   • 9999 в блоках полей Service listens on;
   • 9998 в блоках полей Service sends events to.

5. Перейдите к блоку Web interface.
6. Пропишите IP-адрес CyberTrace в поле IP address or hostname и нажмите Save.

7. Нажмите Restart the CyberTrace Service в верхней панели инструментов.

Создайте правило обогащения событий и привяжите его к коллектору или коррелятору, затем перезапустите сервисы.

Как создать правило обогащения в KUMA

1. Перейдите в раздел Ресурсы и выберите Правила обогащения.
2. Выберите нужную папку и нажмите Добавить.
3. Заполните необходимые поля:
   • Название: любое уникальное имя правила.
   • Тенант: в раскрывающемся списке выберите нужное значение, по умолчанию — Main.
   • Тип источника данных: cybertrace.
   • URL: значение в формате <IP-адрес CyberTrace>:9999. Например: 10.68.85.139:9999.
   • Количество подключений: заполните при необходимости, по умолчанию — 0.
   • Запросов в секунду: 5000.
   • Время ожидания: заполните при необходимости, по умолчанию — 0.
   • Сопоставление:
     • FileHash — hash;
     • RequestUrl — url;
     • DestinationAddress — ip;
     • DeviceCustomString1 — url.
   • Отладка: по умолчанию отключена.
   • Описание: заполните при необходимости, можете оставить поле пустым.

4. Выберите или создайте фильтр, если необходимо снизить нагрузку на CyberTrace.

5. Нажмите Сохранить.

Как привязать правило обогащения к коллектору или коррелятору и перезапустить сервисы в KUMA

1. Перейдите в раздел Ресурсы и выберите Коллекторы или Корреляторы.
2. Выберите коллектор или коррелятор, который нужно обогатить данными из CyberTrace.
3. Перейдите в раздел Обогащение событий для коллектора или Обогащение для коррелятора и нажмите Добавить обогащение.
4. В поле Правило обогащения выберите из выпадающего списка нужное правило обогащения.
5. Перейдите в раздел Проверка параметров и нажмите Сохранить и перезапустить сервисы.
6. Нажмите Сохранить.

По умолчанию проверка соединения с CyberTrace в KUMA отсутствует. Вы можете вручную проверить интеграцию с CyberTrace и убедиться, что обогащение событий выполняется:

1. Откройте командную строку.
2. Отправьте в коллектор запрос, который вызовет появление события и последующее обогащение. В качестве тестового URL можете использовать http://malware.example.com. Пример запроса:
   curl --request POST \
   --url http://<IP-адрес устройства, на котором установлен коллектор>:<порт коллектора>/input \
   --header 'Content-Type: application/json' \
   --data '{"RequestUrl":"http://malware.example.com"}'
3. Откройте KUMA и перейдите в раздел События.
4. Найдите созданное обогащенное событие. Пример поискового запроса:
   SELECT * FROM `events` WHERE RequestUrl = 'http://malware.example.com' ORDER BY Timestamp DESC LIMIT 250
5. Откройте свойства найденного события и проверьте, что в нем содержатся TI-индикатор и категория индикатора c данными CyberTrace.