Сценарии использования CyberTrace
CyberTrace - платформа для управления данными о киберугрозах
В статье описаны основные два сценария использования:
1. Поиск IoC: интеграции по TCP/API, а также ретроскан
2. TIP: получение, распространение IoC и графы расследования
1. Поиск IoC
1.1 События от SIEM
1.1.1 KUMA (TCP / API)
KUMA нативно интегрируется с CyberTrace. На стороне KUMA настраивается правило обогащения:
cybertrace -- события отправляются по TCP/9999 (при необходимости порт переопределяется)
cybertrace-http -- события отправляются по HTTP/443 (рекомендуемый способ)
Схема взаимодействия:
Пример обогащения:
1.1.2 Другие SIEM
Список поддерживаемых SIEM:
Схема взаимодействия:
Пример интеграции:
1.2 Другие события отправленные по TCP
В CyberTrace не лицензируется поток EPS, поэтому, если какой-то источник флудит событиями, то возможен сценарий, когда CyberTrace обрабатывает поток, а сработки отправляет сработки в SIEM
Схема взаимодействия:
К минусам такого подхода можно отнести необходимость писать регулярные выражения под кастомный источник. Но часть этих выражений уже описаны в справке
1.3 Ретроскан
Пример использования ретроскана в сочетании с KUMA
Ретроскан помогает выявить IoC, которые на момент получения события не считались вредоносными, но спустя n-время были добавлены в фиды. После обновления фидов CyberTrace повторно проверяет сохраненные события и обнаруживает такие совпадения
CyberTrace может хранить события либо в течение заданного количества дней, либо до достижения заданного объема дискового пространства
2. TIP
2.1 Получение IoC
Способ получения:
Формат получения IoC:
Если сторонний поставщик предоставляет фиды через TAXII, то CyberTrace считается совместимым с ними
2.2 Распространение IoC
Также можно рассмотреть CyberTrace, как поставщика фидов в сторонние решения
2.2.1 Коробочный функционал
Из коробки поддерживаются следующие форматы экспорта:
2.2.2 Утилиты
Также с помощью утилит возможно экспортировать фиды в другие СЗИ по API. Они реализованы для:
Данные утилиты предоставляются по запросу
2.3 Граф расследования
Графы расследования визуализируют информацию об IoC и их взаимосвязях. Для получения расширенной информации по IoC CyberTrace интегрируется с:
Описание трансформаций, которые поддерживаются в CyberTrace



