# Ретроспективная проверка IoC с помощью KUMA и CyberTrace

### Введение

<p class="callout warning">Описанный ниже сценарий применим для версии **CyberTrace 4.4** и выше. Ресурсы, поставляемые для данного сценария в **KUMA** применимы к версии **3.2** и выше, но могут быть сделаны аналогичные для версий **2.1+**.</p>

В данном сценарии рассматривается автоматизация ретроспективной проверки по IoC с использованием интеграции KUMA и CyberTrace.

Сценарий позволяет:

1\. По расписанию выполнять ретроспективную проверку на стороне CyberTrace

2\. Получать событие в KUMA по результатам ретроспективной проверки

3\. Создавать коррреляционное событие и алерт на основании такого события, а также добавлять в корреляционное событие кликабельную ссылку на исходное событие, на которое сработал ретроскан.

---

### Настройка CyberTrace

Подключитесь к CyberTrace от имени пользователя с правами администратора.

#### Настройка получения и отправки событий

Перейдите в раздел **Settings** - **General.**

В графе **Incoming events** выберите **IP address and port**, в поле **IP address** укажие адрес CyberTrace, на котором он будет принимать индикаторы от KUMA (запись **0.0.0.0** означает, что CyberTrace будет принимать соединения на всех адресах), а в поле **Port** задайте порт, на котором CyberTrace будет принимать индикаторы.

В графе **Detection alerts** в поле **IP address** укажите адрес коллектора KUMA, а в графе **Port** - порт коллектора KUMA.

По завершении настройки нажмите кнопку **Save** внизу экрана.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/595image.png)

---

#### Настройка ретроспективной проверки

Перейдите в раздел **Settings - Restroscan**

Включите ретроскан ползунком **Enabled**. На вкладка **General settings** задайте необходимые настройки регулярности ретроспективной проверки и другие параметры.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/LWEimage.png)

Находясь в том же разделе, перейдите на вкладку **Feeds** и включите необходимые фиды для ретроспективной проверки.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/Kinimage.png)

Находясь в том же разделе, перейдите на вкладку **Regular expressions** и выберите **RE\_CONTEXT** (обязательно в данном сценарии), а также те индикаторы, по которым планируется ретроспективная проверка.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/TA2image.png)

По окончании настройки нажмите кнопку **Save**.

---

#### Настройка формата событий

Перейдите в раздел **Settings - Detection alerts**

Заполните **Alert format**, как показано в примере.

```
Category=%Category%|MatchedIndicator=%MatchedIndicator%%RecordContext%|KUMA_event_id=%RE_CONTEXT%|KUMA_event_date=%EventReceivedDate%|outcome=%Retroscan%
```

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/t9Eimage.png)

Выберите вверху **Context** и заполните **Actionable fields**, как в примере ниже.

```
"%ParamName%":"%ParamValue%"
```

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/GTAimage.png)

Пролистайте в самый низ страницы и нажмите кнопку **Save**.

Настройки для **Service alerts** можете оставить по умолчанию или изменить по своему усмотрению. В данном сценарии рассматривается и требуется взаимодействие только с **Detection alerts**.

---

### Настройка KUMA

1\. Скачайте набор ресурсов (нормализатор и правило корреляции) по [**ссылке**](https://github.com/koalapower/ioc_retroscan) и импортируйте в KUMA.

#### Настройка обогащения

<p class="callout warning">**Важно!** Обогащение должно выполняться именно методом **cybertrace**. Метод **cybertarce-http** не применим в данном случае, т.к. в CyberTrace до 5.0 версии включительно обогащение по API не доступно для ретроспективной проверки и отображения в детектах.</p>

1\. Настройте обогащение на коллекторах, где это требуется по инструкции из соответствующего [**раздела**](https://kb.kuma-community.ru/books/integracii/page/integraciia-cybertrace-s-kuma#bkmrk-%D0%9E%D0%B1%D0%BE%D0%B3%D0%B0%D1%89%D0%B5%D0%BD%D0%B8%D0%B5-cybertrac-1).

---

#### Настройка коллектора

1\. На шаге **Транспорт** укажите тип и порт в соответствии с настройками на стороне **CyberTrace**.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/WlIimage.png)

2\. На шаге **Парсинг** событий выберите нормализатор **\[DEMO\] CyberTrace**.

3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

**- Хранилище**. Для отправки обработанных событий в хранилище.  
**- Коррелятор**. Для отправки обработанных событий в коррелятор.  
Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их.

4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**.

5\. Скопируйте появившуюся команду для установки коллектора KUMA.

---

<span style="color: rgb(34, 34, 34); font-family: var(--font-heading, var(--font-body)); font-size: 1.666em; font-weight: 400;">Настройка корреляции</span>

1\. Откройте на редактирование правило корреляции **D016;CyberTrace;IoC Matched By Retroscan** (или **D016;CyberTrace;Обнаружение IoC в ходе ретроспективной проверки**)

2\. Перейдите в Селекторы - Локальные переменные

3\. Отредактируйте значение переменной **core** подставив свой FQDN или IP-адрес ядра

<p class="callout warning">Важно! FQDN для данного сценария не должен превышать 18 символов! В случае более длинного FQDN следует использовать IP-адрес.</p>

<details id="bkmrk-%D0%9F%D0%BE%D1%8F%D1%81%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BE%D0%B3%D1%80%D0%B0%D0%BD%D0%B8%D1%87%D0%B5%D0%BD%D0%B8"><summary>Пояснение ограничения</summary>

Ссылка на событие KUMA (переменная **url**), которая будет помещена в корреляционное событие, находится в поле **DeviceExternalID**. Максимальная длина данных в этом поле **255** символов. Пустой запрос без FQDN содержит **237** символов, что дает возможность указать FQDN меньше или равным **18** символам.

При необходимости, можно изменить мапинг ссылки на событие на другое поле, например, Message. Но в таком случае ссылка будет "не кликабельная" и нужно будет копировать ее из события и вставлять в строку браузера.

</details>![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/gWKimage.png)

4\. Сохраните правило корреляции.

5\. Привяжите к коррелятору правило корреляции **D016;CyberTrace;IoC Matched By Retroscan**

6\. Обновите параметры сервиса коррелятора.

---

### Результат

В результате по обнаружению в результате ретроспективного скнаирования в KUMA будет отправлено соответствующее обнаружение.

На основании данного обнаружения с помощью правила корреляции будет возведен алерт, в котором в поле **DeviceExternalID** будет доступна ссылка на событие KUMA, в котором было обнаружено совпадение.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/xoSimage.png)

При нажатии на ссылку откроется окно с событиями с подготовленным поиском и временным окном. Для отображения события требуется только нажать на кнопку Выполнить запрос. В результате отобразится событие KUMA, в котором с помощью ретроскана CyberTrace было найдено совпадение по индикатору.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/Z2Yimage.png)