Skip to main content

Интеграция CyberTrace с KUMA

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/3.4/ru-RU/217924.htm

Описание CyberTrace: https://support.kaspersky.ru/datafeeds/about/13850?_ga=2.203307089.1316632250.1728285594-385727687.1689681277 

Видеоматериалы CyberTrace: https://rutube.ru/plst/1042259/ 

Ссылка на актуальный дистрибутив CyberTrace : https://support.kaspersky.com/datafeeds/download/15920#block0 

Системные требования для CyberTrace

Минимальные системные требования (обработка ~4K EPS): 8 vCPU; 20 RAM; 200 HDD

  • OC – Linux x64 (CentOS 7.x/8.x или RedHat 7.x предпочтительно, но зависит от стандартов и политик организации)
  • RAM – как минимум 16 ГБ должно быть свободно для использования только СТ
  • HDD – не менее 100ГБ доступных в /opt (без использования Retroscan, для продуктивного сервера потребуется около 1ТБ)
  • Network – сетевой интерфейс 1Гбит/с со статическим IP

Подробнее: https://support.kaspersky.com/help/CyberTrace/4.4/ru-RU/270383.htm 

Для загрузки фидов Лаборатории Касперского нужен доступ до  https://wlinfo.kaspersky.com (TCP/443). Важно: НЕ должен подменяться сертификат (SSL inspection) на периметре при доступе к ресурсу. Для загрузки других фидов может потребоваться доступ, в зависимости от их размещения.


Установка CyberTrace на Linux

Распаковать загруженный архив: 

tar -C /opt -xvzf CyberTrace-rpm.tar.gz --no-same-owner

Переход в папку установки:

cd /opt/cybertrace

Учетная запись пользователя, выполняющего установку DEB|RPM-пакета, должна иметь права root.

Запуск скрипта установки:

./run.sh install

Установка CyberTrace выполняется в каталог /opt/kaspersky/ktfs.

После установки DEB|RPM пакета скрипт установки автоматически запускает конфигуратор, в котором нужно прочитать и принять лицензионное соглашение (EULA). После этого выполняется запуск сервисов CyberTrace: cybertrace_db и cybertrace.

Вход в веб-интерфейс по адресу https://<IP_or_Hostname>, УЗ по умолчанию admin / CyberTrace!1

image.png

Статья онлайн-справки «Установка в ОС Linux»:

https://support.kaspersky.ru/cyber-trace/5.0/165522

 

Статья онлайн-справки «Установка в ОС Windows»:

https://support.kaspersky.ru/cyber-trace/5.0/165581

Отключите фаервол на ОС или откройте доступ до нужных портов для работы CyberTrace 

Настройка CyberTrace

При первом входе в веб-интерфейс CyberTrace после установки появится окно мастера первоначальной настройки (Initial Setup Wizard), в котором:

1.        На шаге мастера Добро пожаловать в Kaspersky CyberTrace отображается краткая информация о Kaspersky CyberTrace и о мастере первоначальной настройки. Выберите язык интерфейса и нажмите Далее.

 

image.png

 

2.      На шаге 2 Настройка прокси-сервера укажите параметры прокси-сервера для Kaspersky CyberTrace. Шаг является опциональным.

 

image.png

 3.      На шаге 3 мастера Настройка лицензирования выберите требуемый уровень лицензирования Kaspersky CyberTrace: Community Edition или коммерческую лицензию. В нашем примере используется коммерческий уровень лицензирования и указывается Файл ключа. После выбора этого варианта укажите предоставленный файл ключа для Kaspersky CyberTrace (<имя файла>.key).

4.       На шаге 4 мастера Настройка сервиса отключите Служебные оповещения и укажите IP-адрес или имя хоста, используемые для подключения к веб-интерфейсу Kaspersky CyberTrace (IP-адрес или имя хоста того сервера, на котором установлен Kaspersky CyberTrace).

image.png

 

 5.      На шаге 5 мастера Настройка управления данными необходимо выбрать и настроить SIEM-систему для интеграции с Kaspersky CyberTrace. От выбора SIEM-системы зависит формат конфигурационных файлов Kaspersky CyberTrace, поскольку эти файлы адаптируются под конкретную SIEM-систему.

·         В разделе SIEM-система выберите SIEM-систему для интеграции с CyberTrace. В нашем примере это будет KUMA.

·         В разделе Входящие события задайте параметры сокета, который Kaspersky CyberTrace должен прослушивать в ожидании входящих событий. В нашем примере это будет IP-адрес сервера CyberTrace и порт 9999.

·         Параметры раздела Оповещения об обнаружении индикаторов компрометации оставьте по умолчанию.

image.png

6.      На шаге 6 мастера Настройка сертификата добавьте сертификат. Сертификат определяет набор потоков данных об угрозах «Лаборатории Касперского», которые можно использовать в Kaspersky CyberTrace. Выберите необходимый тип сертификата: Демо-сертификат или Коммерческий сертификат и укажите путь к файлу .pem с сертификатом.

Для получения сертификата обратитесь к сотрудникам Лаборатории Касперского или представителям партнера, который проводит пилотное тестирование.

 

image.png

7.       На шаге мастера 7 Настройка потоков данных укажите потоки данных, которые планируется использовать в Kaspersky CyberTrace. Набор доступных потоков данных определяется сертификатом, выбранным на предыдущем шаге мастера.

image.png

 

8.      На шаге 8 Первоначальная настройка завершена чтобы завершить работу мастера первоначальной настройки, нажмите кнопку Готово.

 

image.png

 

После завершения первоначальной настройки рекомендуется изменить пароль администратора, используемый по умолчанию.

 
Проверка загрузки индикаторов компрометации

Чтобы проверить, что индикаторы компрометации, выбранных потоков данных об угрозах, успешно загружены в CyberTrace:

Выберите Тенант Система.

1.        Перейдите в раздел Задачи и убедитесь, что задача Feeds update завершилась со статусом Выполнено.

 image.png

 

2.      Перейдите в раздел Информационная панель виджет Статистика по потокам индикаторов и проверьте, что столбец Индикаторы для каждого фида (потока данных об угрозах) отличен от 0.

  image.png

 3.      Выберите Тенант General.

4.       Перейдите в раздел Индикаторы и убедитесь в наличии индикаторов компрометации из выбранных потоков данных угрозах.

 image.png

 


Настройка обогащения событий

Начиная с версии 3.2 в KUMA доступно 2 варианта интеграции с CyberTrace для потокового обогащения событий данными об индикаторах компрометации:

·         С помощью Kaspersky CyberTrace Service

·         С использованием API CyberTrace

 Далее будет рассмотрен вариант интеграции с помощью Kaspersky CyberTrace Service.

 Интеграция с использованием API CyberTrace рассмотрена в статье:

https://kb.kuma-community.ru/books/integracii/page/integraciia-cybertrace-s-kuma

 Чтобы настроить обогащение событий данными об индикаторах компрометации создайте правило обогащения:

1.        В веб-интерфейсе KUMA перейдите в раздел Ресурсы Правила обогащения.

2.      Нажмите на кнопку Добавить.

 image.png

3.      В появившемся окне Создание правила обогащения:

·         В поле Название введите уникальное имя правила.

·         В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.

·         В раскрывающемся списке Исходный тип выберите cybertrace.

·         Укажите URL или IP-адрес сервера CyberTrace, к которому вы хотите подключиться.

·         При необходимости укажите в поле Количество подключений максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлен Коллектор KUMA.

·         В поле Запросов в секунду введите количество запросов к серверу CyberTrace, которое сможет выполнять KUMA в секунду. Значение по умолчанию: 1000.

·         В поле Максимальное кол-во событий в очереди обогащения введите максимальное количество событий, сохраняемое в очереди для переотправки. Значение по умолчанию: 1000000.

·         В поле Время ожидания укажите время в секундах, в течение которого KUMA должна ожидать ответа от сервера CyberTrace. Если ответ получен до истечения времени ожидания, он добавляется в поле события TI, и обработка события продолжается. Значение по умолчанию: 30.

·         В секции Сопоставление требуется указать поля событий, значения которых следует отправить в CyberTrace на проверку, а также задать правила сопоставления полей событий KUMA с типами индикаторов CyberTrace:

·   В столбце Поле KUMA выберите поле, значение которого требуется отправить в CyberTrace (в нашем примере поле RequestUrl и DestinationAddress).

В качестве отправляемых полей необходимо указывать поля, в которых присутствует внешний IP-адрес/домен/URL/хеш-сумма файла. Например, поля FileHash, DestinationHostName и другие.

·   В столбце Индикатор CyberTrace выберите тип индикатора CyberTrace для каждого выбранного поля (в нашем примере url и ip соответственно):

·         ip

·         url

·         hash

·         В секции Параметры фильтра можно задать условия определения событий, которые будут обрабатываться создаваемым правилом обогащения. Переключитесь на Код и укажите следующее условие:

SourceAddress insubnet [

  '10.0.0.0/8',

  '172.16.0.0/12',

  '192.168.0.0/16'

]

AND NOT DestinationAddress insubnet [

  '10.0.0.0/8',

  '172.16.0.0/12',

  '192.168.0.0/16'

]

                       

      Правило обогащения будет применяться к событиям, в которых внутренний IP-адрес взаимодействует с внешним IP-адресом.

                       ·         Нажмите Создать.

image.png

image.png

 

 Далее созданное правило обогащения необходимо добавить к Коллектору. В примере ниже будет создан новый сервис Коллектора для отправки тестовых событий, Вы можете пропустить этот шаг и использовать созданное правило обогащения на существующих Коллекторах.

 Рекомендуется применять правила обогащения в Коллекторах, которые обрабатывают события приложений, сетевого оборудования или средств защиты, в которых есть внешние домены/URL/IP-адреса или хеш-суммы файлов

Создайте новый сервис Коллектора, выбрав на шаге Парсинг событий нормализатор [OOTB] CEF (см. Раздел Создание сервиса Коллектора).

image.png

 

Чтобы добавить созданное ранее правило обогащения событий данными об индикаторах компрометации в Коллектор:

1.        Перейдите в раздел Ресурсы Активные сервисы.

2.      Выберите Коллектор, события которого необходимо обогащать данными об индикаторах компрометации (в нашем примере Коллектор для тестовых событий в формате CEF). 

image.png

3.      В окне Редактирование коллектора перейдите на шаг Обогащение событий и нажмите Добавить обогащение.

4.       В поле Правило обогащения выберите ранее созданное правило обогащения.

image.png

 

5.      Перейдите на шаг Проверка параметров и нажмите Сохранить и обновить параметры сервисов.

6.      Нажмите Сохранить.

image.png

 

Проверка работы обогащения Kaspersky CyberTrace

Чтобы проверить корректность работы правила обогащения и интеграции с Kaspersky CyberTrace:

1.        В консоли сервера KUMA или консоли другого хоста выполните команду отправки тестового события с вредоносным IP в созданный Коллектор  (для отправки используется утилита netcat):

nc <IP-адрес сервера KUMA> <порт коллектора> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|src=10.1.1.1 dst=192.0.2.3'

 image.png

 2.      В консоли сервера KUMA выполните команду отправки тестового события с вредоносным URL в созданный Коллектор:

nc <IP-адрес сервера KUMA> <порт коллектора> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|src=10.1.1.1 request=http://a7396d61caffe18a4cffbb3b428c9b60.com'

image.png

3.      Перейдите в раздел Ресурсы Активные сервисы.

4.       Нажмите ПКМ на ранее созданный Коллектор и выберите Перейти к событиям.

image.png

5.      В разделе События нажмите на событие, у которого значение поля DestinationAddress равно 192.0.2.3 и убедитесь, что в карточке события отображается информация об обнаруженном индикаторе компрометации.

image.png

6.      В разделе События нажмите на событие, у которого значение поля RequestUrl равно  http://a7396d61caffe18a4cffbb3b428c9b60.com и убедитесь, что в карточке события отображается информация об обнаруженном индикаторе компрометации.

image.png

 

Если вы применили правило обогащения на продуктивном Коллекторе (например, Коллектор, обрабатывающий события NGFW) для поиска событий, обогащенных информацией об индикаторах компрометации, выполните следующий поисковый запрос:

 

SELECT * FROM `events` WHERE TI !='' ORDER BY Timestamp DESC LIMIT 250

 

 

Для создания алертов и отслеживания обращений к IP-адресам/доменам/URL, информация о которых есть в фидах CyberTrace, необходимо привязать к коррелятору следующие правила корреляции из SOC Package:

·         R201_Обнаружено соединение с подозрительным IP-адресом

·         R202_Обнаружено обращение на подозрительный Domain

·         R203_Обнаружено обращение на подозрительный URL

 

Количество обнаружений на основе объектов (IP/домены/URL/хеш-суммы файлов), полученных от KUMA, можно просмотреть в виджете Обзор статистики CyberTrace. Для этого:

1.        В веб-интерфейсе CyberTrace выберите тенант General.

2.      Перейдите в Информационная панель и выберите виджет Обзор статистики.

image.png

 

Чтобы просмотреть обнаруженные индикаторы компрометации во входящих событиях:

1.        В веб-интерфейсе CyberTrace выберите тенант General.

2.      Перейдите в Обнаружения и убедитесь в наличии в таблице IP-адреса 192.0.2.3 и URL http://a7396d61caffe18a4cffbb3b428c9b60.com.

3.      Нажав на значение индикатора ознакомьтесь с подробной информацией об обнаружении.

image.png

 

Онлайн-справка Kaspersky CyberTrace:

https://support.kaspersky.ru/cyber-trace/5.0

 

Статья онлайн-справки «Интеграция с Kaspersky CyberTrace»:

https://support.kaspersky.com/help/KUMA/3.2/ru-RU/217924.htm

 

Видео по настройке:

https://rutube.ru/video/3ffef45983cce034a42985364aab959f/

 

Интеграция интерфейса CyberTrace

Вы можете интегрировать веб-интерфейс CyberTrace в веб-интерфейс KUMA. Когда эта интеграция настроена и включена, в веб-интерфейсе KUMA появляется раздел CyberTrace с доступом к веб-интерфейсу CyberTrace.

Чтобы интегрировать веб-интерфейс CyberTrace в KUMA:

1.        Перейдите в раздел веб-интерфейса KUMA Ресурсы Секреты.

2.      Нажмите на кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс используется для хранения учетных данных для подключения к серверу CyberTrace.

3.      В появившемся окне Создание секрета:

·         В поле Название укажите имя для добавляемого секрета.

·         В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.

·         В раскрывающемся списке Тип выберите credentials.

·         В полях Пользователь и Пароль введите учетные данные пользователя с ролью Администратор на сервере CyberTrace (в нашем примере будет использоваться учетная запись по умолчанию admin).

·         При необходимости в поле Описание добавьте описание для создаваемого секрета.

·         Нажмите Сохранить.

image.png

Учетные данные сервера CyberTrace сохранены и могут использоваться в других ресурсах KUMA.

 

4.       Перейдите в раздел веб-интерфейс KUMA Параметры Kaspersky CyberTrace.

5.      В окне Интеграция с Kaspersky CyberTrace укажите:

·         Адрес сервера (обязательно) – введите IP-адрес или FQDN сервера CyberTrace.

·         Порт (обязательно) – введите порт сервера CyberTrace, порт для доступа к веб-интерфейсу по умолчанию 443.

·         В раскрывающемся списке Секрет выберите секрет, который вы создали ранее.

6.      В секции Разрешить хосты укажите IP-адрес (если для доступа к веб-интерфейсу KUMA используется IP-адрес) или FQDN (если для доступа к веб-интерфейсу KUMA используется FQDN) сервера KUMA.

7.       Нажмите Сохранить.

image.png

8.      Убедитесь, что в панели слева веб-интерфейса KUMA появился раздел CyberTrace.

image.png

 

Обновление списка запрещенных объектов CyberTrace (Internal TI)

После интеграции веб-интерфейса CyberTrace в веб-интерфейс KUMA появляется возможность вручную формировать внутренний BlackList из объектов, которые встречаются в событиях KUMA. Данный BlackList (в терминологии CyberTrace фид «Internal TI») будет хранится в CyberTrace и может быть использован для обогащения событий и поиска индикаторов компрометации по аналогии с коммерческими фидами.  

 

Чтобы добавить объект в фид Internal TI CyberTrace:

1.        В веб-интерфейсе KUMA откройте карточку события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-сумме файла.

2.      В контекстное меню выберите Добавить в Internal TI CyberTrace.

Выбранный объект добавлен в список запрещенных объектов в CyberTrace.

image.png

Чтобы просмотреть перечень объектов, добавленных в фид Internal TI CyberTrace:

1.        В веб-интерфейсе KUMA перейдите в раздел CyberTrace.

2.      Далее в разделе Индикаторы примените фильтр по Потокам индикаторов, выбрав InternalTI.

Нажав на значение индикатора можно просмотреть сведения об индикаторе и  при необходимости добавить дополнительные атрибуты.

image.png

 

Настройка на стороне KUMA

Начиная с версии 3.2 в KUMA доступно 2 метода интеграции с CyberTrace для потокового обогащения событий данными об индикаторах компрометации:

  1. С использованием API CyberTrace
  2. С помощью Kaspersky CyberTrace Service

Для снижения нагрузки на CyberTrace рекомендуется использовать фильтр в обогащении (ресурс KUMA - Пароль импорта: q123123Q!) на правиле обогащении, пример фильтра из Community-Pack: https://box.kaspersky.com/f/39a48398202543dbb9c9/ 

image.png

Интеграция с использованием API CyberTrace

Данный метод позволяет отправлять большое количество объектов одним запросом на API-интерфейс CyberTrace. Рекомендуется применять в системах с большим потоком (>50k EPS) событий. Производительность Сybertrace-http значительно превосходит показатели прежнего метода cybertrace, который по-прежнему доступен для обеспечения обратной совместимости.

В веб-интерфейсе CyberTrace создайте новую учетную запись пользователя, которая будет использоваться KUMA для подключения к API CyberTrace. Для этого перейдите в раздел Settings -> Users  и нажмите Add new user. В появившемся окне New user укажите следующие параметры:

  • Login - <имя учетной записи пользователя>
  • Password - <пароль учетной записи пользователя>
  • Confirm password - <пароль учетной записи пользователя>
  • Role - Analyst

Нажмите Add.

Далее в веб-интерфейсе KUMA создайте секрет для подключения к API CyberTrace: перейдите в Ресурсы -> Секреты и нажмите Добавить. В появившемся окне укажите следующие параметры:

  • Название - <название секрета>
  • Тенант - <название тенанта, например, Main>
  • Тип - credentials
  • Пользователь - <Имя пользователя, созданного на предыдущем шаге>
  • Пароль - <Пароль, созданного пользователя на предыдущем шаге>
  • Описание (опционально)

image.png

Создайте правило обогащения в веб-интерфейсе KUMA: перейдите в Ресурсы -> Правила обогащения и нажмите Добавить. В появившемся окне укажите следующие параметры:

  • Название - <название правила обогащения>
  • Тенант - <название тенанта, например, Main>
  • Исходный тип - cybertrace-http
  • URL - <IP-адрес/FQDN сервера CyberTrace>:443
  • Секрет - <секрет, созданный на предыдущем шаге>
  • Ключевые поля - <поля, значения которых будут передаваться в CyberTrace на анализ. Как пример, укажите поля со скриншота ниже>
  • Время ожидания - 0
  • Максимальное кол-во событий в очереди обогащения - 1000000
  • Описание (опционально)
  • Параметры фильтра - <условия срабатывания правила обогащения. В качестве примера, ниже используется набор условий, при котором правило будет срабатывать для событий обращения внутренних IP-адресов к внешним IP-адресам>

image.png

Пример готового кода для добавления в правило обогащения:

SourceAddress insubnet [
  '10.0.0.0/8',
  '172.16.0.0/12',
  '192.168.0.0/16'
]
AND NOT DestinationAddress insubnet [
  '10.0.0.0/8',
  '172.16.0.0/12',
  '192.168.0.0/16'
]

Указываем поля DestinationHostName | RequestURL и DestinationNtDomain | DestinationDnsDomain, потому что в событии может быть только одно поле из пары. Если есть оба поля, коннектор CyberTrace в KUMA возьмет только уникальное значение и отправит в CyberTrace на анализ

Если объекты (IP, URL, Domain, Hash) расположены в “кастомных” полях, напр., DeviceCustomString1, то можно создать отдельное правило обогащения, в котором в качестве ключевого поля будет указано необходимое "кастомное" поле/поля

Добавьте созданное правило обогащения в параметрах сервиса коллектора (или коррелятора): перейдите в Ресурсы -> Активные сервисы и нажмите на название сервиса коллектора . В появившемся окне Редактирование коллектора перейдите на шаг Обогащение событий и в секции справа нажмите Добавить обогащение.

image.png

В поле Правило обогащения выберите ранее созданное правило обогащения.

image.png

После добавления правила обогащения перейдите на шаг Проверка параметров и нажмите Сохранить и обновить параметры сервисов для применения изменений конфигурации коллектора.

image.png

Интеграция с помощью Kaspersky CyberTrace Service 

Для повышения прозводительности, можно изменять число рабочих процессов коллектора (1 шаг настройки) / самого правила обогащения (для асинхронных задач эффективнее работа)

В KUMA перейдите в раздел Ресурсы - Правила обогащения. Нажмите на кнопку Добавить правило обогащения. В поле URL укажите IP адрес CyberTrace, остальные поля заполните по аналогии со скриншотом ниже. Затем нажмите на кнопку Сохранить.

image.png

Добавьте созданное правило обогащения на нужные коллеторы или корреляторы. Ниже пример добавления в коррелятор.

image.png

После выполнения настроек необходимо сохранить и обновить (можно и перезапустить) параметры ресурса.

image.png


Проверка работы интеграции CyberTrace с KUMA

Подразумевается, что настроена интеграция событий с KSC на KUMA, на хосте, где будет проводиться тест установлен KES с последними обновлениями. Иначе используйте другие системы, с которыми осуществлена интеграция по событиям.

В CyberTrace в разделе Индикаторы, скопируйте любой URL из списка содержимых.

image.png

С хоста, где установлен KES осуществите переход в браузере по ссылке, например - http://www.kasprsky.com/test/wmuf и получите "отбивку" от KES. Через некоторое время появится событие от KSC. В событии будет обращение по вредоносной ссылке с дополнительным контекстом от CyberTrace, пример ниже:

image.png

Сопоставление названия фида и категории https://support.kaspersky.com/help/CyberTrace/5.0/ru-RU/166083.htm 

Количество обнаружений на основе объектов, полученных от KUMA, можно увидеть в дашборде статистики на CyberTrace, для Отображения и обновления информации в разделе Информационная панель:

image.png

Включите опции:

image.png

Не забудьте нажать кнопку Сохранить.

В качестве упрощенного варианта проверки корректной работы обогащения CyberTrace можно отправить тестовое событие в коллектор с помощью утилиты netcat или утилиты kuma. В примере ниже используется тестовое событие в формате CEF, отправленное средствами netcat.

Для коллектора с транспортом TCP:
nc <IP-адрес> <порт> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|request=<любой URL из вкладки Indicators CyberTrace>'

Для коллектора с транспортом UDP:
nc -u <IP-адрес> <порт> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|request=<любой URL из вкладки Indicators CyberTrace>'

Пример обогащенного события на скриншоте ниже

image.png

Для создания алертов и отслеживания обращений к IP-адресам/доменам/URL, информация о которых есть в фидах CyberTrace, необходимо привязать к коррелятору следующие правила корреляции из SOC Package:

R201_Обнаружено соединение с подозрительным IP-адресом
R202_Обнаружено обращение на подозрительный Domain
R203_Обнаружено обращение на подозрительный URL