Skip to main content

Ретроспективная проверка IoC с помощью KUMA и CyberTrace

Введение

 

 

Настройка CyberTrace

Подключитесь к CyberTrace от имени пользователя с правами администратора.

Настройка получения и отправки событий

Перейдите в раздел Settings - Service.

В графе Service listens on выберите IP and port, в поле IP address укажие адрес CyberTrace, на котором он будет принимать индикаторы от KUMA (запись 0.0.0.0 означает, что CyberTrace будет принимать соединения на всех адресах), а в поле Port задайте порт, на котором CyberTrace будет принимать индикаторы.

В графе Service sends events to в поле IP address укажите адрес коллектора KUMA, а в графе Port - порт коллектора KUMA.

По завершении настройки нажмите кнопку Save внизу экрана.

image.png

Настройка ретроспективной проверки

Перейдите в раздел Settings - Restroscan

Включите ретроскан ползунком Retroscan is on. На вкладка General settings задайте необходимые настройки регулярности ретроспективной проверки и другие параметры.

image.png

Находясь в том же разделе, перейдите на вкладку Feeds used in retroscan и включите необходимые фиды для ретроспективной проверки.

image.png

Находясь в том же разделе, перейдите на вкладку Fields saved for retroscan и выберите RE_CONTEXT (обязательно в данном сценарии), а также те индикаторы, по которым планируется ретроспективная проверка.

image.png

По окончании настройки нажмите кнопку Save.

Настройка формата событий

Перейдите в раздел Settings - Events format. Заполните алерт Alert events format, как показано в примере.

CEF:0|Kaspersky|CyberTrace|4.4|1|CyberTrace Service Event|4|reason=%Alert% msg={%RecordContext%} end=%Date%

image.png

Пролистайте страницу ниже и заполните Detection events format, как показано в примере.

CEF:0|Kaspersky|CyberTrace|4.4|2|CyberTrace Detection Event|8|reason=%Category% externalId=%RE_CONTEXT% cn3=%Confidence% cs5=%MatchedIndicator% fileHash=%RE_HASH% dst=%RE_IP% request=%RE_URL% cs6={%RecordContext%} end=%Date% outcome=%Retroscan% rt=%EventReceivedDate%

image.png

Пролистайте страницу ниже и заполните Record context format, а также Actionable fields context format, как в примере ниже.

"%ParamName%":"%ParamValue%",

image.png

Пролистайте в самый низ страницы и нажмите кнопку Save.

Настройка KUMA

Настройка обогащения

Настройте обогащение на коллекторах, где это требуется по инструкции из соответствующего раздела.

Настройка коллектора

 

Настройка корреляции

 

Результат

 

 

Back to top