Skip to main content

Интеграция CyberTrace с KUMA

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/3.4/ru-RU/217924.htm

Описание CyberTrace: https://support.kaspersky.ru/datafeeds/about/13850?_ga=2.203307089.1316632250.1728285594-385727687.1689681277 

Видеоматериалы CyberTrace: https://rutube.ru/plst/1042259/ 

Ссылка на актуальный дистрибутив CyberTrace : https://support.kaspersky.com/datafeeds/download/15920#block0 

Системные требования для CyberTrace

Минимальные системные требования (обработка ~4K EPS): 8 vCPU; 20 RAM; 200 HDD

  • OC – Linux x64 (CentOS 7.x/8.x или RedHat 7.x предпочтительно, но зависит от стандартов и политик организации)
  • RAM – как минимум 16 ГБ должно быть свободно для использования только СТ
  • HDD – не менее 100ГБ доступных в /opt (без использования Retroscan, для продуктивного сервера потребуется около 1ТБ)
  • Network – сетевой интерфейс 1Гбит/с со статическим IP

Подробнее: https://support.kaspersky.com/help/CyberTrace/4.4/ru-RU/270383.htm 

Для загрузки фидов Лаборатории Касперского нужен доступ до  https://wlinfo.kaspersky.com (TCP/443). Важно: НЕ должен подменяться сертификат (SSL inspection) на периметре при доступе к ресурсу. Для загрузки других фидов может потребоваться доступ, в зависимости от их размещения.


Установка CyberTrace на Linux

Распаковать загруженный архив: 

tar -C /opt -xvzf CyberTrace-rpm.tar.gz --no-same-owner

Переход в папку установки:

cd /opt/cybertrace

Учетная запись пользователя, выполняющего установку DEB|RPM-пакета, должна иметь права root.

Запуск скрипта установки:

./run.sh install

Установка CyberTrace выполняется в каталог /opt/kaspersky/ktfs.

После установки DEB|RPM пакета скрипт установки автоматически запускает конфигуратор, в котором нужно прочитать и принять лицензионное соглашение (EULA). После этого выполняется запуск сервисов CyberTrace: cybertrace_db и cybertrace.

Вход в веб-интерфейс по адресу https://<IP_or_Hostname>, УЗ по умолчанию admin / CyberTrace!1

image.png

Статья онлайн-справки «Установка в ОС Linux»:

https://support.kaspersky.ru/cyber-trace/5.0/165522

 

Статья онлайн-справки «Установка в ОС Windows»:

https://support.kaspersky.ru/cyber-trace/5.0/165581

Отключите фаервол на ОС или откройте доступ до нужных портов для работы CyberTrace 

Настройка CyberTrace

При первом входе в веб-интерфейс CyberTrace после установки появится окно мастера первоначальной настройки (Initial Setup Wizard), в котором:

1.        На шаге мастера Добро пожаловать в Kaspersky CyberTrace отображается краткая информация о Kaspersky CyberTrace и о мастере первоначальной настройки. Выберите язык интерфейса и нажмите Далее.

 

image.png

 

2.      На шаге 2 Настройка прокси-сервера укажите параметры прокси-сервера для Kaspersky CyberTrace. Шаг является опциональным.

 

image.png

 3.      На шаге 3 мастера Настройка лицензирования выберите требуемый уровень лицензирования Kaspersky CyberTrace: Community Edition или коммерческую лицензию. В нашем примере используется коммерческий уровень лицензирования и указывается Файл ключа. После выбора этого варианта укажите предоставленный файл ключа для Kaspersky CyberTrace (<имя файла>.key).

4.       На шаге 4 мастера Настройка сервиса отключите Служебные оповещения и укажите IP-адрес или имя хоста, используемые для подключения к веб-интерфейсу Kaspersky CyberTrace (IP-адрес или имя хоста того сервера, на котором установлен Kaspersky CyberTrace).

image.png

 

 5.      На шаге 5 мастера Настройка управления данными необходимо выбрать и настроить SIEM-систему для интеграции с Kaspersky CyberTrace. От выбора SIEM-системы зависит формат конфигурационных файлов Kaspersky CyberTrace, поскольку эти файлы адаптируются под конкретную SIEM-систему.

·         В разделе SIEM-система выберите SIEM-систему для интеграции с CyberTrace. В нашем примере это будет KUMA.

·         В разделе Входящие события задайте параметры сокета, который Kaspersky CyberTrace должен прослушивать в ожидании входящих событий. В нашем примере это будет IP-адрес сервера CyberTrace и порт 9999.

·         Параметры раздела Оповещения об обнаружении индикаторов компрометации оставьте по умолчанию.

image.png

6.      На шаге 6 мастера Настройка сертификата добавьте сертификат. Сертификат определяет набор потоков данных об угрозах «Лаборатории Касперского», которые можно использовать в Kaspersky CyberTrace. Выберите необходимый тип сертификата: Демо-сертификат или Коммерческий сертификат и укажите путь к файлу .pem с сертификатом.

Для получения сертификата обратитесь к сотрудникам Лаборатории Касперского или представителям партнера, который проводит пилотное тестирование.

 

image.png

7.       На шаге мастера 7 Настройка потоков данных укажите потоки данных, которые планируется использовать в Kaspersky CyberTrace. Набор доступных потоков данных определяется сертификатом, выбранным на предыдущем шаге мастера.

image.png

 

8.      На шаге 8 Первоначальная настройка завершена чтобы завершить работу мастера первоначальной настройки, нажмите кнопку Готово.

 

image.png

 

После завершения первоначальной настройки рекомендуется изменить пароль администратора, используемый по умолчанию.

Проверка загрузки индикаторов компрометации

Чтобы проверить, что индикаторы компрометации, выбранных потоков данных об угрозах, успешно загружены в CyberTrace:

Выберите Тенант Система.

1.        Перейдите в раздел Задачи и убедитесь, что задача Feeds update завершилась со статусом Выполнено.

 image.png

 

2.      Перейдите в раздел Информационная панель виджет Статистика по потокам индикаторов и проверьте, что столбец Индикаторы для каждого фида (потока данных об угрозах) отличен от 0.

  image.png

 3.      Выберите Тенант General.

4.       Перейдите в раздел Индикаторы и убедитесь в наличии индикаторов компрометации из выбранных потоков данных угрозах.

 image.png

 

Настройка обогащения событий

Начиная с версии 3.2 в KUMA доступно 2 варианта интеграции с CyberTrace для потокового обогащения событий данными об индикаторах компрометации:

·         С помощью Kaspersky CyberTrace Service

·         С использованием API CyberTrace

 Далее будет рассмотрен вариант интеграции с помощью Kaspersky CyberTrace Service.

 Интеграция с использованием API CyberTrace рассмотрена в статье:

https://kb.kuma-community.ru/books/integracii/page/integraciia-cybertrace-s-kuma

 Чтобы настроить обогащение событий данными об индикаторах компрометации создайте правило обогащения:

1.        В веб-интерфейсе KUMA перейдите в раздел Ресурсы Правила обогащения.

2.      Нажмите на кнопку Добавить.

 image.png

3.      В появившемся окне Создание правила обогащения:

·         В поле Название введите уникальное имя правила.

·         В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.

·         В раскрывающемся списке Исходный тип выберите cybertrace.

·         Укажите URL или IP-адрес сервера CyberTrace, к которому вы хотите подключиться.

·         При необходимости укажите в поле Количество подключений максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлен Коллектор KUMA.

·         В поле Запросов в секунду введите количество запросов к серверу CyberTrace, которое сможет выполнять KUMA в секунду. Значение по умолчанию: 1000.

·         В поле Максимальное кол-во событий в очереди обогащения введите максимальное количество событий, сохраняемое в очереди для переотправки. Значение по умолчанию: 1000000.

·         В поле Время ожидания укажите время в секундах, в течение которого KUMA должна ожидать ответа от сервера CyberTrace. Если ответ получен до истечения времени ожидания, он добавляется в поле события TI, и обработка события продолжается. Значение по умолчанию: 30.

·         В секции Сопоставление требуется указать поля событий, значения которых следует отправить в CyberTrace на проверку, а также задать правила сопоставления полей событий KUMA с типами индикаторов CyberTrace:

·   В столбце Поле KUMA выберите поле, значение которого требуется отправить в CyberTrace (в нашем примере поле RequestUrl и DestinationAddress).

В качестве отправляемых полей необходимо указывать поля, в которых присутствует внешний IP-адрес/домен/URL/хеш-сумма файла. Например, поля FileHash, DestinationHostName и другие.

·   В столбце Индикатор CyberTrace выберите тип индикатора CyberTrace для каждого выбранного поля (в нашем примере url и ip соответственно):

·         ip

·         url

·         hash

·         В секции Параметры фильтра можно задать условия определения событий, которые будут обрабатываться создаваемым правилом обогащения. Переключитесь на Код и укажите следующее условие:

SourceAddress insubnet [

  '10.0.0.0/8',

  '172.16.0.0/12',

  '192.168.0.0/16'

]

AND NOT DestinationAddress insubnet [

  '10.0.0.0/8',

  '172.16.0.0/12',

  '192.168.0.0/16'

]

                       

      Правило обогащения будет применяться к событиям, в которых внутренний IP-адрес взаимодействует с внешним IP-адресом.

                       ·         Нажмите Создать.

image.png

image.png

 

 Далее созданное правило обогащения необходимо добавить к Коллектору. В примере ниже будет создан новый сервис Коллектора для отправки тестовых событий, Вы можете пропустить этот шаг и использовать созданное правило обогащения на существующих Коллекторах.

 Рекомендуется применять правила обогащения в Коллекторах, которые обрабатывают события приложений, сетевого оборудования или средств защиты, в которых есть внешние домены/URL/IP-адреса или хеш-суммы файлов

Создайте новый сервис Коллектора, выбрав на шаге Парсинг событий нормализатор [OOTB] CEF (см. Раздел Создание сервиса Коллектора).

image.png

Чтобы добавить созданное ранее правило обогащения событий данными об индикаторах компрометации в Коллектор:

1.        Перейдите в раздел Ресурсы Активные сервисы.

2.      Выберите Коллектор, события которого необходимо обогащать данными об индикаторах компрометации (в нашем примере Коллектор для тестовых событий в формате CEF). 

image.png

3.      В окне Редактирование коллектора перейдите на шаг Обогащение событий и нажмите Добавить обогащение.

4.       В поле Правило обогащения выберите ранее созданное правило обогащения.

image.png

 

5.      Перейдите на шаг Проверка параметров и нажмите Сохранить и обновить параметры сервисов.

6.      Нажмите Сохранить.

image.png

 

Проверка работы обогащения Kaspersky CyberTrace

Чтобы проверить корректность работы правила обогащения и интеграции с Kaspersky CyberTrace:

1.        В консоли сервера KUMA или консоли другого хоста выполните команду отправки тестового события с вредоносным IP в созданный Коллектор  (для отправки используется утилита netcat):

nc <IP-адрес сервера KUMA> <порт коллектора> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|src=10.1.1.1 dst=192.0.2.3'

 image.png

 2.      В консоли сервера KUMA выполните команду отправки тестового события с вредоносным URL в созданный Коллектор:

nc <IP-адрес сервера KUMA> <порт коллектора> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|src=10.1.1.1 request=http://a7396d61caffe18a4cffbb3b428c9b60.com'

image.png

3.      Перейдите в раздел Ресурсы Активные сервисы.

4.       Нажмите ПКМ на ранее созданный Коллектор и выберите Перейти к событиям.

image.png

5.      В разделе События нажмите на событие, у которого значение поля DestinationAddress равно 192.0.2.3 и убедитесь, что в карточке события отображается информация об обнаруженном индикаторе компрометации.

image.png

6.      В разделе События нажмите на событие, у которого значение поля RequestUrl равно  http://a7396d61caffe18a4cffbb3b428c9b60.com и убедитесь, что в карточке события отображается информация об обнаруженном индикаторе компрометации.

image.png

Если вы применили правило обогащения на продуктивном Коллекторе (например, Коллектор, обрабатывающий события NGFW) для поиска событий, обогащенных информацией об индикаторах компрометации, выполните следующий поисковый запрос:

 

SELECT * FROM `events` WHERE TI !='' ORDER BY Timestamp DESC LIMIT 250

 

 

Для создания алертов и отслеживания обращений к IP-адресам/доменам/URL, информация о которых есть в фидах CyberTrace, необходимо привязать к коррелятору следующие правила корреляции из SOC Package:

·         R201_Обнаружено соединение с подозрительным IP-адресом

·         R202_Обнаружено обращение на подозрительный Domain

·         R203_Обнаружено обращение на подозрительный URL

Количество обнаружений на основе объектов (IP/домены/URL/хеш-суммы файлов), полученных от KUMA, можно просмотреть в виджете Обзор статистики CyberTrace. Для этого:

1.        В веб-интерфейсе CyberTrace выберите тенант General.

2.      Перейдите в Информационная панель и выберите виджет Обзор статистики.

image.png

Чтобы просмотреть обнаруженные индикаторы компрометации во входящих событиях:

1.        В веб-интерфейсе CyberTrace выберите тенант General.

2.      Перейдите в Обнаружения и убедитесь в наличии в таблице IP-адреса 192.0.2.3 и URL http://a7396d61caffe18a4cffbb3b428c9b60.com.

3.      Нажав на значение индикатора ознакомьтесь с подробной информацией об обнаружении.

image.png

Онлайн-справка Kaspersky CyberTrace:

https://support.kaspersky.ru/cyber-trace/5.0

 

Статья онлайн-справки «Интеграция с Kaspersky CyberTrace»:

https://support.kaspersky.com/help/KUMA/3.2/ru-RU/217924.htm

 

Видео по настройке:

https://rutube.ru/video/3ffef45983cce034a42985364aab959f/

 

Интеграция интерфейса CyberTrace

Вы можете интегрировать веб-интерфейс CyberTrace в веб-интерфейс KUMA. Когда эта интеграция настроена и включена, в веб-интерфейсе KUMA появляется раздел CyberTrace с доступом к веб-интерфейсу CyberTrace.

Чтобы интегрировать веб-интерфейс CyberTrace в KUMA:

1.        Перейдите в раздел веб-интерфейса KUMA Ресурсы Секреты.

2.      Нажмите на кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс используется для хранения учетных данных для подключения к серверу CyberTrace.

3.      В появившемся окне Создание секрета:

·         В поле Название укажите имя для добавляемого секрета.

·         В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.

·         В раскрывающемся списке Тип выберите credentials.

·         В полях Пользователь и Пароль введите учетные данные пользователя с ролью Администратор на сервере CyberTrace (в нашем примере будет использоваться учетная запись по умолчанию admin).

·         При необходимости в поле Описание добавьте описание для создаваемого секрета.

·         Нажмите Сохранить.

image.png

Учетные данные сервера CyberTrace сохранены и могут использоваться в других ресурсах KUMA.

4.       Перейдите в раздел веб-интерфейс KUMA Параметры Kaspersky CyberTrace.

5.      В окне Интеграция с Kaspersky CyberTrace укажите:

·         Адрес сервера (обязательно) – введите IP-адрес или FQDN сервера CyberTrace.

·         Порт (обязательно) – введите порт сервера CyberTrace, порт для доступа к веб-интерфейсу по умолчанию 443.

·         В раскрывающемся списке Секрет выберите секрет, который вы создали ранее.

6.      В секции Разрешить хосты укажите IP-адрес (если для доступа к веб-интерфейсу KUMA используется IP-адрес) или FQDN (если для доступа к веб-интерфейсу KUMA используется FQDN) сервера KUMA.

7.       Нажмите Сохранить.

image.png

8.      Убедитесь, что в панели слева веб-интерфейса KUMA появился раздел CyberTrace.

image.png

 

Обновление списка запрещенных объектов CyberTrace (Internal TI)

После интеграции веб-интерфейса CyberTrace в веб-интерфейс KUMA появляется возможность вручную формировать внутренний BlackList из объектов, которые встречаются в событиях KUMA. Данный BlackList (в терминологии CyberTrace фид «Internal TI») будет хранится в CyberTrace и может быть использован для обогащения событий и поиска индикаторов компрометации по аналогии с коммерческими фидами.  

Чтобы добавить объект в фид Internal TI CyberTrace:

1.        В веб-интерфейсе KUMA откройте карточку события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-сумме файла.

2.      В контекстное меню выберите Добавить в Internal TI CyberTrace.

Выбранный объект добавлен в список запрещенных объектов в CyberTrace.

image.png

Чтобы просмотреть перечень объектов, добавленных в фид Internal TI CyberTrace:

1.        В веб-интерфейсе KUMA перейдите в раздел CyberTrace.

2.      Далее в разделе Индикаторы примените фильтр по Потокам индикаторов, выбрав InternalTI.

Нажав на значение индикатора можно просмотреть сведения об индикаторе и  при необходимости добавить дополнительные атрибуты.

image.png