Skip to main content

Сценарии использования CyberTrace

CyberTrace - платформа для управления данными о киберугрозах
В статье описаны основные два сценария использования:
1. Поиск IoC: интеграции по TCP/API, а также ретроскан
2. TIP: получение, распространение IoC и графы расследования

1. Поиск IoC

1.1 События от SIEM

1.1.1 KUMA (TCP / API)

KUMA нативно интегрируется с CyberTrace. На стороне KUMA настраивается правило обогащения:

  • cybertrace -- события отправляются по TCP/9999 (при необходимости порт переопределяется)
  • cybertrace-http -- события отправляются по HTTP/443 (рекомендуемый способ)

Схема взаимодействия:

image.png

Пример обогащения:

image.png

 

1.1.2 Другие SIEM

Список поддерживаемых SIEM: 

Схема взаимодействия:

image.png

Пример интеграции:

  • На стороне SIEM настраивается форвардинг событий на TCP/9999 (при необходимости порт переопределяется)
  • На стороне CyberTrace выбирается SIEM/настраиваются регулярки
  • На стороне CyberTrace определяется формат отправки сообщения и address:port назначения
  • На стороне SIEM производится дальнейшая обработка события

1.2 Другие события отправленные по TCP

В CyberTrace не лицензируется поток EPS, поэтому, если какой-то источник флудит событиями, то возможен сценарий, когда CyberTrace обрабатывает поток, а сработки отправляет сработки в SIEM

Схема взаимодействия:

image.png

К минусам такого подхода можно отнести необходимость писать регулярные выражения под кастомный источник. Но часть этих выражений уже описаны в справке

 

1.3 Ретроскан

Пример использования ретроскана в сочетании с KUMA

Ретроскан помогает выявить IoC, которые на момент получения события не считались вредоносными, но спустя n-время были добавлены в фиды. После обновления фидов CyberTrace повторно проверяет сохраненные события и обнаруживает такие совпадения

CyberTrace может хранить события либо в течение заданного количества дней, либо до достижения заданного объема дискового пространства

 

2. TIP

2.1 Получение IoC

Способ получения:

  • Файловая система
  • HTTP/HTTPS
  • Электронная почта (IMAP/POP3)

Формат получения IoC:

  • CSV
  • JSON
  • STIX (1.x, 2.0, 2.1)
  • XML
  • PDF
  • MISP

Если сторонний поставщик предоставляет фиды через TAXII, то CyberTrace считается совместимым с ними

 

2.2 Распространение IoC

Также можно рассмотреть CyberTrace, как поставщика фидов в сторонние решения

2.2.1 Коробочный функционал

Из коробки поддерживаются следующие форматы экспорта:

  • Универсальный экспорт в CSV
  • Check Point NGFW
  • Cisco Firewall Management Center
  • FortiGate NGFW
  • Palo Alto NGFW
  • Sophos NGFW
  • Security Code NGFW (Код Безопасности)
  • UserGate NGFW
  • Broadcom (Symantec) ProxySG
2.2.2 Утилиты 

Также с помощью утилит возможно экспортировать фиды в другие СЗИ по API. Они реализованы для:

  • Категорий KSC
  • PT NAD
  • PT WAF
  • PT SB

Данные утилиты предоставляются по запросу

 

2.3 Граф расследования

Графы расследования визуализируют информацию об IoC и их взаимосвязях. Для получения расширенной информации по IoC CyberTrace интегрируется с:

  • Kaspersky TIP
  • VirusTotal

Описание трансформаций, которые поддерживаются в CyberTrace

Пример графа:

image.png