# Сценарии использования CyberTrace

<p class="callout info">**CyberTrace** - платформа для управления данными о киберугрозах  
В статье описаны основные два сценария использования:  
1. **Поиск IoC**: интеграции по TCP/API, а также ретроскан  
2. **TIP**: получение, распространение IoC и графы расследования</p>

### 1. Поиск IoC

#### 1.1 События от SIEM

##### 1.1.1 KUMA (TCP / API)

KUMA нативно интегрируется с CyberTrace. На стороне KUMA настраивается правило обогащения:

- `cybertrace` -- события отправляются по TCP/9999 (при необходимости порт переопределяется)
- `cybertrace-http` -- события отправляются по HTTP/443 (**рекомендуемый способ**)

Схема взаимодействия:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-07/scaled-1680-/3Rpimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-07/3Rpimage.png)

Пример обогащения:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-07/scaled-1680-/Fasimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-07/Fasimage.png)

##### 1.1.2 Другие SIEM

[Список](https://support.kaspersky.com/CyberTrace/5.3/en-US/162509.htm) поддерживаемых SIEM:

Схема взаимодействия:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-07/scaled-1680-/DXmimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-07/DXmimage.png)

Пример интеграции:

- На стороне SIEM настраивается форвардинг событий на TCP/9999 (при необходимости порт переопределяется)
- На стороне CyberTrace выбирается SIEM/настраиваются регулярки
- На стороне CyberTrace определяется формат отправки сообщения и address:port назначения
- На стороне SIEM производится дальнейшая обработка события

#### 1.2 Другие события отправленные по TCP

В CyberTrace не лицензируется поток EPS, поэтому, если какой-то источник флудит событиями, то возможен сценарий, когда CyberTrace обрабатывает поток, а сработки отправляет сработки в SIEM

Схема взаимодействия:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-07/scaled-1680-/ppSimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-07/ppSimage.png)

К минусам такого подхода можно отнести необходимость писать регулярные выражения под кастомный источник. Но часть этих выражений уже описаны в [справке](https://support.kaspersky.com/CyberTrace/5.3/en-US/171633.htm)

#### 1.3 Ретроскан

[Пример](https://kb.kuma-community.ru/books/integracii/page/retrospektivnaia-proverka-ioc-s-pomoshhiu-kuma-i-cybertrace) использования ретроскана в сочетании с KUMA

Ретроскан помогает выявить IoC, которые на момент получения события не считались вредоносными, но спустя n-время были добавлены в фиды. После обновления фидов CyberTrace повторно проверяет сохраненные события и обнаруживает такие совпадения

CyberTrace может хранить события либо в течение заданного количества дней, либо до достижения заданного объема дискового пространства

### 2. TIP

#### 2.1 Получение IoC

Способ получения:

- Файловая система
- HTTP/HTTPS
- Электронная почта (IMAP/POP3)

Формат получения IoC:

- CSV
- JSON
- STIX (1.x, 2.0, 2.1)
- XML
- PDF
- MISP

Если сторонний поставщик предоставляет фиды через TAXII, то CyberTrace считается совместимым с ними

#### 2.2 Распространение IoC

Также можно рассмотреть CyberTrace, как поставщика фидов в сторонние решения

##### 2.2.1 Коробочный функционал

Из коробки поддерживаются следующие форматы экспорта:

- Универсальный экспорт в CSV
- Check Point NGFW
- Cisco Firewall Management Center
- FortiGate NGFW
- Palo Alto NGFW
- Sophos NGFW
- Security Code NGFW (Код Безопасности)
- UserGate NGFW
- Broadcom (Symantec) ProxySG

##### 2.2.2 Утилиты 

Также с помощью утилит возможно экспортировать фиды в другие СЗИ по API. Они реализованы для:

- Категорий KSC
- PT NAD
- PT WAF
- PT SB

Данные утилиты предоставляются по запросу

#### 2.3 IoC Pivoting

##### 2.3.1 Граф расследования

Графы расследования визуализируют информацию об IoC и их взаимосвязях. Для получения расширенной информации по IoC CyberTrace интегрируется с:

- Kaspersky TIP
- VirusTotal

Описание трансформаций, которые [поддерживаются](https://support.kaspersky.com/CyberTrace/5.3/en-US/222398.htm) в CyberTrace

Пример графа:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-07/scaled-1680-/eJJimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-07/eJJimage.png)

#####  

##### 2.3.2 Kaspersky Threat Lookup

Позволяет сделать запрос по IoC и автоматически добавить его в фиды CyberTrace. Также по данному IoC предоставляется весь контекст из TIP (File downloaded from web addresses and domains, Similar files и др.)