Интеграция CyberTrace с KUMA
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/3.4/ru-RU/217924.htm
Описание CyberTrace: https://support.kaspersky.ru/datafeeds/about/13850?_ga=2.203307089.1316632250.1728285594-385727687.1689681277
Видеоматериалы CyberTrace: https://rutube.ru/plst/1042259/
Ссылка на актуальный дистрибутив CyberTrace : https://support.kaspersky.com/datafeeds/download/15920#block0
Системные требования для CyberTrace
Минимальные системные требования (обработка ~4K EPS): 8 vCPU; 20 RAM; 200 HDD
- OC – Linux x64 (CentOS 7.x/8.x или RedHat 7.x предпочтительно, но зависит от стандартов и политик организации)
- RAM – как минимум 16 ГБ должно быть свободно для использования только СТ
- HDD – не менее 100ГБ доступных в /opt (без использования Retroscan, для продуктивного сервера потребуется около 1ТБ)
- Network – сетевой интерфейс 1Гбит/с со статическим IP
Подробнее: https://support.kaspersky.com/help/CyberTrace/4.4/ru-RU/270383.htm
Для загрузки фидов Лаборатории Касперского нужен доступ до https://wlinfo.kaspersky.com (TCP/443). Важно: НЕ должен подменяться сертификат (SSL inspection) на периметре при доступе к ресурсу. Для загрузки других фидов может потребоваться доступ, в зависимости от их размещения.
Установка CyberTrace на Linux
Распаковать загруженный архив:
tar -C /opt -xvzf CyberTrace-rpm.tar.gz --no-same-owner
Переход в папку установки:
cd /opt/cybertrace
Учетная запись пользователя, выполняющего установку DEB|RPM-пакета, должна иметь права root.
Запуск скрипта установки:
./run.sh install
Установка CyberTrace выполняется в каталог /opt/kaspersky/ktfs.
После установки DEB|RPM пакета скрипт установки автоматически запускает конфигуратор, в котором нужно прочитать и принять лицензионное соглашение (EULA). После этого выполняется запуск сервисов CyberTrace: cybertrace_db и cybertrace.
Вход в веб-интерфейс по адресу https://<IP_or_Hostname>, УЗ по умолчанию admin / CyberTrace!1
|
Статья онлайн-справки «Установка в ОС Linux»: https://support.kaspersky.ru/cyber-trace/5.0/165522
Статья онлайн-справки «Установка в ОС Windows»: |
Отключите фаервол на ОС или откройте доступ до нужных портов для работы CyberTrace
Настройка CyberTrace
При первом входе в веб-интерфейс CyberTrace после установки появится окно мастера первоначальной настройки (Initial Setup Wizard), в котором:
1. На шаге мастера Добро пожаловать в Kaspersky CyberTrace отображается краткая информация о Kaspersky CyberTrace и о мастере первоначальной настройки. Выберите язык интерфейса и нажмите Далее.
2. На шаге 2 Настройка прокси-сервера укажите параметры прокси-сервера для Kaspersky CyberTrace. Шаг является опциональным.
3. На шаге 3 мастера Настройка лицензирования выберите требуемый уровень лицензирования Kaspersky CyberTrace: Community Edition или коммерческую лицензию. В нашем примере используется коммерческий уровень лицензирования и указывается Файл ключа. После выбора этого варианта укажите предоставленный файл ключа для Kaspersky CyberTrace (<имя файла>.key).
4. На шаге 4 мастера Настройка сервиса отключите Служебные оповещения и укажите IP-адрес или имя хоста, используемые для подключения к веб-интерфейсу Kaspersky CyberTrace (IP-адрес или имя хоста того сервера, на котором установлен Kaspersky CyberTrace).
5. На шаге 5 мастера Настройка управления данными необходимо выбрать и настроить SIEM-систему для интеграции с Kaspersky CyberTrace. От выбора SIEM-системы зависит формат конфигурационных файлов Kaspersky CyberTrace, поскольку эти файлы адаптируются под конкретную SIEM-систему.
· В разделе SIEM-система выберите SIEM-систему для интеграции с CyberTrace. В нашем примере это будет KUMA.
· В разделе Входящие события задайте параметры сокета, который Kaspersky CyberTrace должен прослушивать в ожидании входящих событий. В нашем примере это будет IP-адрес сервера CyberTrace и порт 9999.
· Параметры раздела Оповещения об обнаружении индикаторов компрометации оставьте по умолчанию.
6. На шаге 6 мастера Настройка сертификата добавьте сертификат. Сертификат определяет набор потоков данных об угрозах «Лаборатории Касперского», которые можно использовать в Kaspersky CyberTrace. Выберите необходимый тип сертификата: Демо-сертификат или Коммерческий сертификат и укажите путь к файлу .pem с сертификатом.
|
Для получения сертификата обратитесь к сотрудникам Лаборатории Касперского или представителям партнера, который проводит пилотное тестирование. |
7. На шаге мастера 7 Настройка потоков данных укажите потоки данных, которые планируется использовать в Kaspersky CyberTrace. Набор доступных потоков данных определяется сертификатом, выбранным на предыдущем шаге мастера.
8. На шаге 8 Первоначальная настройка завершена чтобы завершить работу мастера первоначальной настройки, нажмите кнопку Готово.
|
После завершения первоначальной настройки рекомендуется изменить пароль администратора, используемый по умолчанию. |
Проверка загрузки индикаторов компрометации
Чтобы проверить, что индикаторы компрометации, выбранных потоков данных об угрозах, успешно загружены в CyberTrace:
Выберите Тенант Система.
1. Перейдите в раздел Задачи и убедитесь, что задача Feeds update завершилась со статусом Выполнено.
2. Перейдите в раздел Информационная панель → виджет Статистика по потокам индикаторов и проверьте, что столбец Индикаторы для каждого фида (потока данных об угрозах) отличен от 0.
3. Выберите Тенант General.
4. Перейдите в раздел Индикаторы и убедитесь в наличии индикаторов компрометации из выбранных потоков данных угрозах.
Настройка обогащения событий
Начиная с версии 3.2 в KUMA доступно 2 варианта интеграции с CyberTrace для потокового обогащения событий данными об индикаторах компрометации:
· С помощью Kaspersky CyberTrace Service
· С использованием API CyberTrace
Далее будет рассмотрен вариант интеграции с помощью Kaspersky CyberTrace Service.
Интеграция с использованием API CyberTrace рассмотрена в статье:
https://kb.kuma-community.ru/books/integracii/page/integraciia-cybertrace-s-kuma
Чтобы настроить обогащение событий данными об индикаторах компрометации создайте правило обогащения:
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Правила обогащения.
2. Нажмите на кнопку Добавить.
3. В появившемся окне Создание правила обогащения:
· В поле Название введите уникальное имя правила.
· В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
· В раскрывающемся списке Исходный тип выберите cybertrace.
· Укажите URL или IP-адрес сервера CyberTrace, к которому вы хотите подключиться.
· При необходимости укажите в поле Количество подключений максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлен Коллектор KUMA.
· В поле Запросов в секунду введите количество запросов к серверу CyberTrace, которое сможет выполнять KUMA в секунду. Значение по умолчанию: 1000.
· В поле Максимальное кол-во событий в очереди обогащения введите максимальное количество событий, сохраняемое в очереди для переотправки. Значение по умолчанию: 1000000.
· В поле Время ожидания укажите время в секундах, в течение которого KUMA должна ожидать ответа от сервера CyberTrace. Если ответ получен до истечения времени ожидания, он добавляется в поле события TI, и обработка события продолжается. Значение по умолчанию: 30.
· В секции Сопоставление требуется указать поля событий, значения которых следует отправить в CyberTrace на проверку, а также задать правила сопоставления полей событий KUMA с типами индикаторов CyberTrace:
· В столбце Поле KUMA выберите поле, значение которого требуется отправить в CyberTrace (в нашем примере поле RequestUrl и DestinationAddress).
|
В качестве отправляемых полей необходимо указывать поля, в которых присутствует внешний IP-адрес/домен/URL/хеш-сумма файла. Например, поля FileHash, DestinationHostName и другие. |
· В столбце Индикатор CyberTrace выберите тип индикатора CyberTrace для каждого выбранного поля (в нашем примере url и ip соответственно):
· ip
· url
· hash
· В секции Параметры фильтра можно задать условия определения событий, которые будут обрабатываться создаваемым правилом обогащения. Переключитесь на Код и укажите следующее условие:
SourceAddress insubnet [
'10.0.0.0/8',
'172.16.0.0/12',
'192.168.0.0/16'
]
AND NOT DestinationAddress insubnet [
'10.0.0.0/8',
'172.16.0.0/12',
'192.168.0.0/16'
]
Правило обогащения будет применяться к событиям, в которых внутренний IP-адрес взаимодействует с внешним IP-адресом.
· Нажмите Создать.
Далее созданное правило обогащения необходимо добавить к Коллектору. В примере ниже будет создан новый сервис Коллектора для отправки тестовых событий, Вы можете пропустить этот шаг и использовать созданное правило обогащения на существующих Коллекторах.
Рекомендуется применять правила обогащения в Коллекторах, которые обрабатывают события приложений, сетевого оборудования или средств защиты, в которых есть внешние домены/URL/IP-адреса или хеш-суммы файлов
Создайте новый сервис Коллектора, выбрав на шаге Парсинг событий нормализатор [OOTB] CEF (см. Раздел Создание сервиса Коллектора).
Чтобы добавить созданное ранее правило обогащения событий данными об индикаторах компрометации в Коллектор:
1. Перейдите в раздел Ресурсы → Активные сервисы.
2. Выберите Коллектор, события которого необходимо обогащать данными об индикаторах компрометации (в нашем примере Коллектор для тестовых событий в формате CEF).
3. В окне Редактирование коллектора перейдите на шаг Обогащение событий и нажмите Добавить обогащение.
4. В поле Правило обогащения выберите ранее созданное правило обогащения.
5. Перейдите на шаг Проверка параметров и нажмите Сохранить и обновить параметры сервисов.
6. Нажмите Сохранить.
Проверка работы обогащения Kaspersky CyberTrace
Чтобы проверить корректность работы правила обогащения и интеграции с Kaspersky CyberTrace:
1. В консоли сервера KUMA или консоли другого хоста выполните команду отправки тестового события с вредоносным IP в созданный Коллектор (для отправки используется утилита netcat):
|
nc <IP-адрес сервера KUMA> <порт коллектора> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|src=10.1.1.1 dst=192.0.2.3' |
2. В консоли сервера KUMA выполните команду отправки тестового события с вредоносным URL в созданный Коллектор:
|
nc <IP-адрес сервера KUMA> <порт коллектора> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|src=10.1.1.1 request=http://a7396d61caffe18a4cffbb3b428c9b60.com' |
3. Перейдите в раздел Ресурсы → Активные сервисы.
4. Нажмите ПКМ на ранее созданный Коллектор и выберите Перейти к событиям.
5. В разделе События нажмите на событие, у которого значение поля DestinationAddress равно 192.0.2.3 и убедитесь, что в карточке события отображается информация об обнаруженном индикаторе компрометации.
6. В разделе События нажмите на событие, у которого значение поля RequestUrl равно http://a7396d61caffe18a4cffbb3b428c9b60.com и убедитесь, что в карточке события отображается информация об обнаруженном индикаторе компрометации.
|
Если вы применили правило обогащения на продуктивном Коллекторе (например, Коллектор, обрабатывающий события NGFW) для поиска событий, обогащенных информацией об индикаторах компрометации, выполните следующий поисковый запрос:
SELECT * FROM `events` WHERE TI !='' ORDER BY Timestamp DESC LIMIT 250
|
|
Для создания алертов и отслеживания обращений к IP-адресам/доменам/URL, информация о которых есть в фидах CyberTrace, необходимо привязать к коррелятору следующие правила корреляции из SOC Package: · R201_Обнаружено соединение с подозрительным IP-адресом · R202_Обнаружено обращение на подозрительный Domain · R203_Обнаружено обращение на подозрительный URL |
Количество обнаружений на основе объектов (IP/домены/URL/хеш-суммы файлов), полученных от KUMA, можно просмотреть в виджете Обзор статистики CyberTrace. Для этого:
1. В веб-интерфейсе CyberTrace выберите тенант General.
2. Перейдите в Информационная панель и выберите виджет Обзор статистики.
Чтобы просмотреть обнаруженные индикаторы компрометации во входящих событиях:
1. В веб-интерфейсе CyberTrace выберите тенант General.
2. Перейдите в Обнаружения и убедитесь в наличии в таблице IP-адреса 192.0.2.3 и URL http://a7396d61caffe18a4cffbb3b428c9b60.com.
3. Нажав на значение индикатора ознакомьтесь с подробной информацией об обнаружении.
|
Онлайн-справка Kaspersky CyberTrace: https://support.kaspersky.ru/cyber-trace/5.0
Статья онлайн-справки «Интеграция с Kaspersky CyberTrace»: https://support.kaspersky.com/help/KUMA/3.2/ru-RU/217924.htm
Видео по настройке: https://rutube.ru/video/3ffef45983cce034a42985364aab959f/ |
Интеграция интерфейса CyberTrace
Вы можете интегрировать веб-интерфейс CyberTrace в веб-интерфейс KUMA. Когда эта интеграция настроена и включена, в веб-интерфейсе KUMA появляется раздел CyberTrace с доступом к веб-интерфейсу CyberTrace.
Чтобы интегрировать веб-интерфейс CyberTrace в KUMA:
1. Перейдите в раздел веб-интерфейса KUMA Ресурсы → Секреты.
2. Нажмите на кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс используется для хранения учетных данных для подключения к серверу CyberTrace.
3. В появившемся окне Создание секрета:
· В поле Название укажите имя для добавляемого секрета.
· В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
· В раскрывающемся списке Тип выберите credentials.
· В полях Пользователь и Пароль введите учетные данные пользователя с ролью Администратор на сервере CyberTrace (в нашем примере будет использоваться учетная запись по умолчанию admin).
· При необходимости в поле Описание добавьте описание для создаваемого секрета.
· Нажмите Сохранить.
Учетные данные сервера CyberTrace сохранены и могут использоваться в других ресурсах KUMA.
4. Перейдите в раздел веб-интерфейс KUMA Параметры → Kaspersky CyberTrace.
5. В окне Интеграция с Kaspersky CyberTrace укажите:
· Адрес сервера (обязательно) – введите IP-адрес или FQDN сервера CyberTrace.
· Порт (обязательно) – введите порт сервера CyberTrace, порт для доступа к веб-интерфейсу по умолчанию 443.
· В раскрывающемся списке Секрет выберите секрет, который вы создали ранее.
6. В секции Разрешить хосты укажите IP-адрес (если для доступа к веб-интерфейсу KUMA используется IP-адрес) или FQDN (если для доступа к веб-интерфейсу KUMA используется FQDN) сервера KUMA.
7. Нажмите Сохранить.
8. Убедитесь, что в панели слева веб-интерфейса KUMA появился раздел CyberTrace.
Обновление списка запрещенных объектов CyberTrace (Internal TI)
После интеграции веб-интерфейса CyberTrace в веб-интерфейс KUMA появляется возможность вручную формировать внутренний BlackList из объектов, которые встречаются в событиях KUMA. Данный BlackList (в терминологии CyberTrace фид «Internal TI») будет хранится в CyberTrace и может быть использован для обогащения событий и поиска индикаторов компрометации по аналогии с коммерческими фидами.
Чтобы добавить объект в фид Internal TI CyberTrace:
1. В веб-интерфейсе KUMA откройте карточку события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-сумме файла.
2. В контекстное меню выберите Добавить в Internal TI CyberTrace.
Выбранный объект добавлен в список запрещенных объектов в CyberTrace.
Чтобы просмотреть перечень объектов, добавленных в фид Internal TI CyberTrace:
1. В веб-интерфейсе KUMA перейдите в раздел CyberTrace.
2. Далее в разделе Индикаторы примените фильтр по Потокам индикаторов, выбрав InternalTI.
Нажав на значение индикатора можно просмотреть сведения об индикаторе и при необходимости добавить дополнительные атрибуты.






























No comments to display
No comments to display