Skip to main content

Интеграция CyberTrace с KUMA

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/3.2/ru-RU/217924.htm

Ссылка на актуальный дистрибутив CyberTrace : https://support.kaspersky.com/datafeeds/download/15920#block0 

Системные требования для CyberTrace

Минимальные системные требования (обработка ~4K EPS): 8 vCPU; 20 RAM; 200 HDD

  • OC – Linux x64 (CentOS 7.x/8.x или RedHat 7.x предпочтительно, но зависит от стандартов и политик организации)
  • RAM – как минимум 16 ГБ должно быть свободно для использования только СТ
  • HDD – не менее 100ГБ доступных в /opt (без использования Retroscan, для продуктивного сервера потребуется около 1ТБ)
  • Network – сетевой интерфейс 1Гбит/с со статическим IP

Подробнее: https://support.kaspersky.com/help/CyberTrace/4.4/ru-RU/270383.htm 

Для загрузки фидов Лаборатории Касперского нужен доступ до  https://wlinfo.kaspersky.com (TCP/443). Важно: НЕ должен подменяться сертификат (SSL inspection) на периметре при доступе к ресурсу. Для загружки других фидов может потребоваться доступ, в зависимости от их размещения.


Установка CyberTrace на Linux

Распаковать загруженный архив: 

tar -C /opt -xvzf CyberTrace-rpm.tar.gz --no-same-owner

Переход в папку установки:

cd /opt/cybertrace

Учетная запись пользователя, выполняющего установку DEB|RPM-пакета, должна иметь права root.

Запуск скрипта установки:

./run.sh install

Установка CyberTrace выполняется в каталог /opt/kaspersky/ktfs.

После установки DEB|RPM пакета скрипт установки автоматически запускает конфигуратор, в котором нужно прочитать и принять лицензионное соглашение (EULA). После этого выполняется запуск сервисов CyberTrace: cybertrace_db и cybertrace.

Вход нав веб-интерфейс по адресу https://<IP_or_Hostname>, УЗ по умолчанию admin / CyberTrace!1

Отключите фаервол на ОС или откройте доступ до нужных портов для работы CyberTrace 

 

Настройка на стороне CyberTrace

Вход в  CyberTrace по: https://<АдресIP_or_Hostname>, пароль по умолчанию: admin / CyberTrace!1

При первом входе после установкиш CyberTrace появится окно мастера первоначальной настройки (Initial Setup Wizard), в котором необходимо:

  • Выбрахть IPиспользуемую SIEM-систему: в данном примере это KUMA
  • Указать параметры подключения для используемой SIEM-системы: IP-адрес CyberTraceинтерфейса во всервера CyberTrace. В последнем поля,е указать IP-адрес интерфейса или Hostname сервера CyberTrace.

image.png

  • Опционачельния портов оставьте по умолчканиюзать (настройки прокси-сервера
  • Опционально импортировать файл лицензионного ключа и файл сертификата для возможности загрузки коммерческих потоков данных об угрозах
  • Указать потоки данных об угрозах, использование которых планируется в Kaspersky CyberTrace.

Для змавершения первоначальнойте).

image.png

image.png

Нажмите настройки кнопкуажать СохранитьClose.


Настройка на стороне KUMA

Начиная с версии 3.2 в KUMA доступно 2 метода взаимодействия с CyberTrace для потокового обогащения событий:

  1. По API
  2. С помощью Kaspersky CyberTrace Service

Обогащение CyberTrace по API

 

 

Обогащение CyberTrace с помощью Kaspersky CyberTrace Service

Для повышения прозводительности, можно изменять число рабочих процессов коллектора (1 шаг настройки) / самого правила обогащения (для асинхронных задач эффективнее работа)

В KUMA перейдите в раздел Ресурсы - Правила обогащения. Нажмите на кнопку Добавить правило обогащения. В поле URL укажите IP адрес CyberTrace, остальные поля заполните по аналогии со скриншотом ниже. Затем нажмите на кнопку Сохранить.

image.png

Для снижения нагружзки на CyberTrace рекомендуется использовать фильтр на правиле обогащении, пример фильтра из пресейл пака: https://box.kaspersky.com/f/39a48398202543dbb9c9/ 

image.png

Добавьте созданное правило обогащения на нужные коллеторы или корреляторы. Ниже пример добавления в коррелятор.

image.png

После выполнения настроек необходимо сохранить и обновить (можно и перезапустить) параметры ресурса.

image.png

 


Проверка работы интеграции CyberTrace с KUMA

Подразумевается, что настроена интеграция событий с KSC на KUMA, на хосте, где будет проводиться тест установлен KES с последними обновлениями. Иначе используйте другие системы, с которыми осуществлена интеграция по событиям.

В CyberTrace в разделе Индикаторы, скопируйте любой URL из списка содержимых.

image.png

С хоста, где установлен KES осуществите переход в браузере по ссылке, например - http://www.kasprsky.com/test/wmuf и получите "отбивку" от KES. Через некоторое время появится событие от KSC. В событии будет обращение по вредоносной ссылке с дополнительным контекстом от CyberTrace, пример ниже:

image.png

На порту 9999 CyberTrace получает запросы от KUMA по событиям. Эти запросы можно увидеть в дашборде статистики на CyberTrace:

image.png