Интеграция CyberTrace с KUMA
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/3.2/4/ru-RU/217924.htm
Описание CyberTrace: https://support.kaspersky.ru/datafeeds/about/13850?_ga=2.203307089.1316632250.1728285594-385727687.1689681277
Видеоматериалы CyberTrace: https://rutube.ru/plst/1042259/
Ссылка на актуальный дистрибутив CyberTrace : https://support.kaspersky.com/datafeeds/download/15920#block0
Системные требования для CyberTrace
Минимальные системные требования (обработка ~4K EPS): 8 vCPU; 20 RAM; 200 HDD
- OC – Linux x64 (CentOS 7.x/8.x или RedHat 7.x предпочтительно, но зависит от стандартов и политик организации)
- RAM – как минимум 16 ГБ должно быть свободно для использования только СТ
- HDD – не менее 100ГБ доступных в /opt (без использования Retroscan, для продуктивного сервера потребуется около 1ТБ)
- Network – сетевой интерфейс 1Гбит/с со статическим IP
Подробнее: https://support.kaspersky.com/help/CyberTrace/4.4/ru-RU/270383.htm
Для загрузки фидов Лаборатории Касперского нужен доступ до https://wlinfo.kaspersky.com (TCP/443). Важно: НЕ должен подменяться сертификат (SSL inspection) на периметре при доступе к ресурсу. Для загрузки других фидов может потребоваться доступ, в зависимости от их размещения.
Установка CyberTrace на Linux
Распаковать загруженный архив:
tar -C /opt -xvzf CyberTrace-rpm.tar.gz --no-same-owner
Переход в папку установки:
cd /opt/cybertrace
Учетная запись пользователя, выполняющего установку DEB|RPM-пакета, должна иметь права root.
Запуск скрипта установки:
./run.sh install
Установка CyberTrace выполняется в каталог /opt/kaspersky/ktfs.
После установки DEB|RPM пакета скрипт установки автоматически запускает конфигуратор, в котором нужно прочитать и принять лицензионное соглашение (EULA). После этого выполняется запуск сервисов CyberTrace: cybertrace_db и cybertrace.
Вход в веб-интерфейс по адресу https://<IP_or_Hostname>, УЗ по умолчанию admin / CyberTrace!1
Статья онлайн-справки «Установка в ОС Linux»:
https://support.kaspersky.ru/cyber-trace/5.0/165522
Статья онлайн-справки «Установка в ОС Windows»:
https://support.kaspersky.ru/cyber-trace/5.0/165581
Отключите фаервол на ОС или откройте доступ до нужных портов для работы CyberTrace
Настройка на стороне CyberTrace
Вход в CyberTrace по: https://<IP_or_Hostname>, пароль по умолчанию: admin / CyberTrace!1
При первом входе в веб-интерфейс CyberTrace после установки CyberTrace появится окно мастера первоначальной настройки (Initial Setup Wizard), в котором необходимо:котором:
1. ВыбратьНа используемуюшаге SIEM-систему:мастера Добро пожаловать в данномKaspersky CyberTrace отображается краткая информация о Kaspersky CyberTrace и о мастере первоначальной настройки. Выберите язык интерфейса и нажмите Далее.
2. На шаге 2 Настройка прокси-сервера укажите параметры прокси-сервера для Kaspersky CyberTrace. Шаг является опциональным.
3. На шаге 3 мастера Настройка лицензирования выберите требуемый уровень лицензирования Kaspersky CyberTrace: Community Edition или коммерческую лицензию. В нашем примере используется коммерческий уровень лицензирования и указывается Файл ключа. После выбора этого варианта укажите предоставленный файл ключа для Kaspersky CyberTrace (<имя файла>.key).
4. На шаге 4 мастера Настройка сервиса отключите Служебные оповещения и укажите IP-адрес или имя хоста, используемые для подключения к веб-интерфейсу Kaspersky CyberTrace (IP-адрес или имя хоста того сервера, на котором установлен Kaspersky CyberTrace).
5. На шаге 5 мастера Настройка управления данными необходимо выбрать и настроить SIEM-систему для интеграции с Kaspersky CyberTrace. От выбора SIEM-системы зависит формат конфигурационных файлов Kaspersky CyberTrace, поскольку эти файлы адаптируются под конкретную SIEM-систему.
· В разделе SIEM-система выберите SIEM-систему для интеграции с CyberTrace. В нашем примере это будет KUMA.
· В разделе Входящие события задайте параметры подключениясокета, длякоторый используемойKaspersky SIEM-системы:CyberTrace IP-должен прослушивать в ожидании входящих событий. В нашем примере это будет IP-адрес интерфейса сервера CyberTrace.CyberTrace Ви последнемпорт поле9999.
· IP-адресПараметры интерфейсараздела илиОповещения Hostnameоб сервераобнаружении CyberTrace.
6. ОпциональноНа указатьшаге настройки6 прокси-серверамастера Опционально импортировать файл лицензионного ключа и файлНастройка сертификата длядобавьте возможностисертификат. загрузкиСертификат коммерческихопределяет набор потоков данных об угрозах Указать«Лаборатории потокиКасперского», данныхкоторые обможно угрозах, использование которых планируетсяиспользовать в Kaspersky CyberTrace.
Для завершенияполучения сертификата обратитесь к сотрудникам Лаборатории Касперского или представителям партнера, который проводит пилотное тестирование.
7. На шаге мастера 7 Настройка потоков данных укажите потоки данных, которые планируется использовать в Kaspersky CyberTrace. Набор доступных потоков данных определяется сертификатом, выбранным на предыдущем шаге мастера.
8. На шаге 8 Первоначальная настройка завершена чтобы завершить работу мастера первоначальной настройкинастройки, нажатьнажмите кнопкуClose Готово..
После завершения первоначальной настройки рекомендуется изменить пароль администратора, используемый по умолчанию.
Проверить
Проверка загрузки индикаторов компрометации
Чтобы следующимпроверить, способом:что индикаторы компрометации, выбранных потоков данных об угрозах, успешно загружены в CyberTrace:
Выберите Тенант Система.
1. Перейдите вов вкладкураздел IndicatorsЗадачи и убедитесь, что задача Feeds update завершилась со статусом Выполнено.
2. Перейдите в раздел Информационная панель → виджет Статистика по потокам индикаторов и проверьте, что столбец Индикаторы для каждого фида (потока данных об угрозах) отличен от 0.
3. Выберите Тенант General.
4. Перейдите в раздел Индикаторы и убедитесь в наличии индикаторов компрометации из выбранных потоков данных угрозах.
Настройка обогащения событий
Начиная с версии 3.2 в KUMA доступно 2 варианта интеграции с CyberTrace для потокового обогащения событий данными об индикаторах компрометации:
· С помощью Kaspersky CyberTrace Service
· С использованием API CyberTrace
Далее будет рассмотрен вариант интеграции с помощью Kaspersky CyberTrace Service.
Интеграция с использованием API CyberTrace рассмотрена в статье:
https://kb.kuma-community.ru/books/integracii/page/integraciia-cybertrace-s-kuma
Чтобы настроить обогащение событий данными об индикаторах компрометации создайте правило обогащения:
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Правила обогащения.
2. Нажмите на кнопку Добавить.
3. В появившемся окне Создание правила обогащения:
· В поле Название введите уникальное имя правила.
· В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
· В раскрывающемся списке Исходный тип выберите cybertrace.
· Укажите URL или IP-адрес сервера CyberTrace, к которому вы хотите подключиться.
· При необходимости укажите в поле Количество подключений максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлен Коллектор KUMA.
· В поле Запросов в секунду введите количество запросов к серверу CyberTrace, которое сможет выполнять KUMA в секунду. Значение по умолчанию: 1000.
· В поле Максимальное кол-во событий в очереди обогащения введите максимальное количество событий, сохраняемое в очереди для переотправки. Значение по умолчанию: 1000000.
· В поле Время ожидания укажите время в секундах, в течение которого KUMA должна ожидать ответа от сервера CyberTrace. Если ответ получен до истечения времени ожидания, он добавляется в поле события TI, и обработка события продолжается. Значение по умолчанию: 30.
· В секции Сопоставление требуется указать поля событий, значения которых следует отправить в CyberTrace на проверку, а также задать правила сопоставления полей событий KUMA с типами индикаторов CyberTrace:
· В столбце Поле KUMA выберите поле, значение которого требуется отправить в CyberTrace (в нашем примере поле RequestUrl и DestinationAddress).
В качестве отправляемых полей необходимо указывать поля, в которых присутствует внешний IP-адрес/домен/URL/хеш-сумма файла. Например, поля FileHash, DestinationHostName и другие.
· В столбце Индикатор CyberTrace выберите тип индикатора CyberTrace для каждого выбранного поля (в нашем примере url и ip соответственно):
· ip
· url
· hash
· В секции Параметры фильтра можно задать условия определения событий, которые будут обрабатываться создаваемым правилом обогащения. Переключитесь на Код и укажите следующее условие:
SourceAddress insubnet [
'10.0.0.0/8',
'172.16.0.0/12',
'192.168.0.0/16'
]
AND NOT DestinationAddress insubnet [
'10.0.0.0/8',
'172.16.0.0/12',
'192.168.0.0/16'
]
Правило обогащения будет применяться к событиям, в которых внутренний IP-адрес взаимодействует с внешним IP-адресом.
· Нажмите Создать.
Далее созданное правило обогащения необходимо добавить к Коллектору. В примере ниже будет создан новый сервис Коллектора для отправки тестовых событий, Вы можете пропустить этот шаг и использовать созданное правило обогащения на существующих Коллекторах.
Рекомендуется применять правила обогащения в Коллекторах, которые обрабатывают события приложений, сетевого оборудования или средств защиты, в которых есть внешние домены/URL/IP-адреса или хеш-суммы файлов
Создайте новый сервис Коллектора, выбрав на шаге Парсинг событий нормализатор [OOTB] CEF (см. Раздел Создание сервиса Коллектора).
Чтобы добавить созданное ранее правило обогащения событий данными об индикаторах компрометации в Коллектор:
1. Перейдите вов вкладкураздел DashboardРесурсы → Активные сервисы.
2. Выберите Коллектор, события которого необходимо обогащать данными об индикаторах компрометации (в нашем примере Коллектор для тестовых событий в формате CEF).
3. В окне Редактирование коллектора перейдите на шаг Обогащение событий и нажмите Добавить обогащение.
4. В поле Правило обогащения выберите ранее созданное правило обогащения.
5. Перейдите на шаг Проверка параметров и нажмите Сохранить и обновить параметры сервисов.
6. Нажмите Сохранить.
Проверка работы обогащения Kaspersky CyberTrace
Чтобы проверить корректность работы правила обогащения и интеграции с Kaspersky CyberTrace:
1. В консоли сервера KUMA или консоли другого хоста выполните команду отправки тестового события с вредоносным IP в созданный Коллектор (для отправки используется утилита netcat):
nc <IP-адрес сервера KUMA> <порт коллектора> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|src=10.1.1.1 dst=192.0.2.3'
2. В консоли сервера KUMA выполните команду отправки тестового события с вредоносным URL в созданный Коллектор:
nc <IP-адрес сервера KUMA> <порт коллектора> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|src=10.1.1.1 request=http://a7396d61caffe18a4cffbb3b428c9b60.com'
3. Перейдите в раздел Ресурсы → Активные сервисы.
4. Нажмите ПКМ на ранее созданный Коллектор и выберите Перейти к событиям.
5. В разделе События нажмите на событие, у которого значение поля DestinationAddress равно 192.0.2.3 и убедитесь, что в карточке события отображается информация об обнаруженном индикаторе компрометации.
6. В разделе События нажмите на событие, у которого значение поля RequestUrl равно http://a7396d61caffe18a4cffbb3b428c9b60.com и убедитесь, что в карточке события отображается информация об обнаруженном индикаторе компрометации.
Если вы применили правило обогащения на продуктивном Коллекторе (например, Коллектор, обрабатывающий события NGFW) для поиска событий, обогащенных информацией об индикаторах компрометации, выполните следующий поисковый запрос:
SELECT * FROM `events` WHERE TI !='' ORDER BY Timestamp DESC LIMIT 250
Для создания алертов и отслеживания обращений к IP-адресам/доменам/URL, информация о которых есть в фидах CyberTrace, необходимо привязать к коррелятору следующие правила корреляции из SOC Package:
· R201_Обнаружено соединение с подозрительным IP->адресом
· R202_Обнаружено обращение на подозрительный Domain
· R203_Обнаружено обращение на подозрительный URL
Количество обнаружений на основе объектов (IP/домены/URL/хеш-суммы файлов), полученных от KUMA, можно просмотреть в виджете Обзор статистики CyberTrace. Для этого:
1. В веб-интерфейсе CyberTrace выберите тенант General.
2. Перейдите в Информационная панель и выберите виджет Обзор статистики.
Supplier statistics
Чтобы просмотреть обнаруженные индикаторы компрометации во входящих событиях:
1. В веб-интерфейсе CyberTrace выберите тенант General.
2. Перейдите в Обнаружения и проверьте,убедитесь в наличии в таблице IP-адреса 192.0.2.3 и URL http://a7396d61caffe18a4cffbb3b428c9b60.com.
3. Нажав на значение индикатора ознакомьтесь с подробной информацией об обнаружении.
Онлайн-справка Kaspersky CyberTrace:
https://support.kaspersky.ru/cyber-trace/5.0
Статья онлайн-справки «Интеграция с Kaspersky CyberTrace»:
https://support.kaspersky.com/help/KUMA/3.2/ru-RU/217924.htm
Видео по настройке:
https://rutube.ru/video/3ffef45983cce034a42985364aab959f/
Интеграция интерфейса CyberTrace
Вы можете интегрировать веб-интерфейс CyberTrace в веб-интерфейс KUMA. Когда эта интеграция настроена и включена, в веб-интерфейсе KUMA появляется раздел CyberTrace с доступом к веб-интерфейсу CyberTrace.
Чтобы интегрировать веб-интерфейс CyberTrace в KUMA:
1. Перейдите в раздел веб-интерфейса KUMA Ресурсы → Секреты.
2. Нажмите на кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс используется для хранения учетных данных для подключения к серверу CyberTrace.
3. В появившемся окне Создание секрета:
· В поле Название укажите имя для добавляемого секрета.
· В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
· В раскрывающемся списке Тип выберите credentials.
· В полях Пользователь и Пароль введите учетные данные пользователя с ролью Администратор на сервере CyberTrace (в нашем примере будет использоваться учетная запись по умолчанию admin).
· При необходимости в поле Описание добавьте описание для создаваемого секрета.
· Нажмите Сохранить.
Учетные данные сервера CyberTrace сохранены и могут использоваться в других ресурсах KUMA.
4. Перейдите в раздел веб-интерфейс KUMA Параметры → Kaspersky CyberTrace.
5. В окне Интеграция с Kaspersky CyberTrace укажите:
· Адрес сервера (обязательно) – введите IP-адрес или FQDN сервера CyberTrace.
· Порт (обязательно) – введите порт сервера CyberTrace, порт для доступа к веб-интерфейсу по умолчанию 443.
· В раскрывающемся списке Секрет выберите секрет, который вы создали ранее.
6. В секции Разрешить хосты укажите IP-адрес (если для доступа к веб-интерфейсу KUMA используется IP-адрес) или FQDN (если для доступа к веб-интерфейсу KUMA используется FQDN) сервера KUMA.
7. Нажмите Сохранить.
8. Убедитесь, что столбецв панели слева веб-интерфейса KUMA появился раздел CyberTrace.
Обновление списка запрещенных объектов CyberTrace (Internal TI)
После интеграции веб-интерфейса CyberTrace в веб-интерфейс KUMA появляется возможность вручную формировать внутренний BlackList из объектов, которые встречаются в событиях KUMA. Данный BlackList (в терминологии CyberTrace фид «Internal TI») будет хранится в CyberTrace и может быть использован для обогащения событий и поиска индикаторов компрометации по аналогии с коммерческими фидами.
Чтобы добавить объект в фид Internal TI CyberTrace:
1. В веб-интерфейсе KUMA откройте карточку события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-сумме файла.
2. В контекстное меню выберите IndicatorsДобавить в дляInternal каждогоTI фидаCyberTrace.
Выбранный отобъект 0.добавлен в список запрещенных объектов в CyberTrace.
Чтобы просмотреть перечень объектов, добавленных в фид Internal TI CyberTrace:
1.
В веб-интерфейсе KUMA перейдите в раздел CyberTrace.2. Далее в разделе Индикаторы примените фильтр по Потокам индикаторов, выбрав InternalTI.
Нажав на значение индикатора можно просмотреть сведения об индикаторе и при необходимости добавить дополнительные атрибуты.
Настройка на стороне KUMA
Начиная с версии 3.2 в KUMA доступно 2 метода интеграции с CyberTrace для потокового обогащения событий данными об индикаторах компрометации:
- С использованием API CyberTrace
- С помощью Kaspersky CyberTrace Service
Для снижения нагрузки на CyberTrace рекомендуется использовать фильтр в обогащении (ресурс KUMA - Пароль импорта: q123123Q!) на правиле обогащении, пример фильтра из Community-Pack: https://box.kaspersky.com/f/39a48398202543dbb9c9/

Интеграция с использованием API CyberTrace
Данный метод позволяет отправлять большое количество объектов одним запросом на API-интерфейс CyberTrace. Рекомендуется применять в системах с большим потоком (>50k EPS) событий. Производительность Сybertrace-http значительно превосходит показатели прежнего метода cybertrace, который по-прежнему доступен для обеспечения обратной совместимости.
В веб-интерфейсе CyberTrace создайте новую учетную запись пользователя, которая будет использоваться KUMA для подключения к API CyberTrace. Для этого перейдите в раздел Settings -> Users и нажмите Add new user. В появившемся окне New user укажите следующие параметры:
- Login - <имя учетной записи пользователя>
- Password - <пароль учетной записи пользователя>
- Confirm password - <пароль учетной записи пользователя>
- Role - Analyst
Нажмите Add.
Далее в веб-интерфейсе KUMA создайте секрет для подключения к API CyberTrace: перейдите в Ресурсы -> Секреты и нажмите Добавить. В появившемся окне укажите следующие параметры:
- Название - <название секрета>
- Тенант - <название тенанта, например, Main>
- Тип - credentials
- Пользователь - <Имя пользователя, созданного на предыдущем шаге>
- Пароль - <Пароль, созданного пользователя на предыдущем шаге>
- Описание (опционально)
Создайте правило обогащения в веб-интерфейсе KUMA: перейдите в Ресурсы -> Правила обогащения и нажмите Добавить. В появившемся окне укажите следующие параметры:
- Название - <название правила обогащения>
- Тенант - <название тенанта, например, Main>
- Исходный тип - cybertrace-http
- URL - <IP-адрес/FQDN сервера CyberTrace>:443
- Секрет - <секрет, созданный на предыдущем шаге>
- Ключевые поля - <поля, значения которых будут передаваться в CyberTrace на анализ. Как пример, укажите поля со скриншота ниже>
- Время ожидания - 0
- Максимальное кол-во событий в очереди обогащения - 1000000
- Описание (опционально)
- Параметры фильтра - <условия срабатывания правила обогащения. В качестве примера, ниже используется набор условий, при котором правило будет срабатывать для событий обращения внутренних IP-адресов к внешним IP-адресам>
Пример готового кода для добавления в правило обогащения:
SourceAddress insubnet [
'10.0.0.0/8',
'172.16.0.0/12',
'192.168.0.0/16'
]
AND NOT DestinationAddress insubnet [
'10.0.0.0/8',
'172.16.0.0/12',
'192.168.0.0/16'
]
Указываем поля DestinationHostName | RequestURL и DestinationNtDomain | DestinationDnsDomain, потому что в событии может быть только одно поле из пары. Если есть оба поля, коннектор CyberTrace в KUMA возьмет только уникальное значение и отправит в CyberTrace на анализ
Если объекты (IP, URL, Domain, Hash) расположены в “кастомных” полях, напр., DeviceCustomString1, то можно создать отдельное правило обогащения, в котором в качестве ключевого поля будет указано необходимое "кастомное" поле/поля
Добавьте созданное правило обогащения в параметрах сервиса коллектора (или коррелятора): перейдите в Ресурсы -> Активные сервисы и нажмите на название сервиса коллектора . В появившемся окне Редактирование коллектора перейдите на шаг Обогащение событий и в секции справа нажмите Добавить обогащение.
В поле Правило обогащения выберите ранее созданное правило обогащения.
После добавления правила обогащения перейдите на шаг Проверка параметров и нажмите Сохранить и обновить параметры сервисов для применения изменений конфигурации коллектора.
Интеграция с помощью Kaspersky CyberTrace Service
Для повышения прозводительности, можно изменять число рабочих процессов коллектора (1 шаг настройки) / самого правила обогащения (для асинхронных задач эффективнее работа)
В KUMA перейдите в раздел Ресурсы - Правила обогащения. Нажмите на кнопку Добавить правило обогащения. В поле URL укажите IP адрес CyberTrace, остальные поля заполните по аналогии со скриншотом ниже. Затем нажмите на кнопку Сохранить.
Добавьте созданное правило обогащения на нужные коллеторы или корреляторы. Ниже пример добавления в коррелятор.
После выполнения настроек необходимо сохранить и обновить (можно и перезапустить) параметры ресурса.
Проверка работы интеграции CyberTrace с KUMA
Подразумевается, что настроена интеграция событий с KSC на KUMA, на хосте, где будет проводиться тест установлен KES с последними обновлениями. Иначе используйте другие системы, с которыми осуществлена интеграция по событиям.
В CyberTrace в разделе Индикаторы, скопируйте любой URL из списка содержимых.
С хоста, где установлен KES осуществите переход в браузере по ссылке, например - http://www.kasprsky.com/test/wmuf и получите "отбивку" от KES. Через некоторое время появится событие от KSC. В событии будет обращение по вредоносной ссылке с дополнительным контекстом от CyberTrace, пример ниже:
Сопоставление названия фида и категории https://support.kaspersky.com/help/CyberTrace/5.0/ru-RU/166083.htm
Количество обнаружений на основе объектов, полученных от KUMA, можно увидеть в дашборде статистики на CyberTrace, для Отображения и обновления информации в разделе Информационная панель:

Включите опции:

Не забудьте нажать кнопку Сохранить.
В качестве упрощенного варианта проверки корректной работы обогащения CyberTrace можно отправить тестовое событие в коллектор с помощью утилиты netcat или утилиты kuma. В примере ниже используется тестовое событие в формате CEF, отправленное средствами netcat.
Для коллектора с транспортом TCP:
nc <IP-адрес> <порт> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|request=<любой URL из вкладки Indicators CyberTrace>'
Для коллектора с транспортом UDP:
nc -u <IP-адрес> <порт> <<< 'CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|request=<любой URL из вкладки Indicators CyberTrace>'
Пример обогащенного события на скриншоте ниже
Для создания алертов и отслеживания обращений к IP-адресам/доменам/URL, информация о которых есть в фидах CyberTrace, необходимо привязать к коррелятору следующие правила корреляции из SOC Package:
R201_Обнаружено соединение с подозрительным IP-адресом
R202_Обнаружено обращение на подозрительный Domain
R203_Обнаружено обращение на подозрительный URL









































