В этом разделе описывается содержимое комплекта поставки Kaspersky CyberTrace.
Типы комплектов поставки
Kaspersky CyberTrace распространяется в комплектах поставки следующих типов:
Комплект поставки этого типа предназначен для установки в ОС Linux.
Комплект поставки этого типа предназначен для установки в ОС Linux.
Комплект поставки этого типа предназначен для установки в ОС Windows.
О файлах интеграции
Все комплекты поставки Kaspersky CyberTrace настроены для интеграции с конкретным SIEM-решением или для автономной интеграции. Каждый комплект поставки содержит ряд файлов, которые можно использовать для интеграции с данным SIEM-решением. Кроме того, конфигурационные файлы Kaspersky CyberTrace Service и других утилит, содержащихся в комплекте поставки, также настроены для удобства интеграции с соответствующим решением SIEM.
Например, комплект поставки для Splunk содержит все компоненты Kaspersky CyberTrace и, кроме того, содержит настроенные конфигурационные файлы для Kaspersky CyberTrace Service и Feed Utility, позволяющие работать со Splunk. Каталог integration внутри комплекта поставки содержит приложения для всех вариантов схем интеграции Splunk. Эти приложения можно развернуть и использовать в инфраструктуре Splunk.
Комплекты поставки RPM и DEB
Комплект поставки этого типа содержит следующие файлы и каталоги.
Состав комплекта поставки (пакет RPM и DEB)
Элемент |
Описание |
Kaspersky_CyberTrace-Linux-%architecture%-%version%.rpm (пакет RPM) Kaspersky_CyberTrace-Linux-%architecture%-%version%.deb (пакет DEB) |
Инсталляционный пакет Kaspersky CyberTrace. Список файлов внутри этого пакета приведен в подразделе «Файлы, содержащиеся в архивах и пакетах (Linux)» ниже. |
legal_notices.txt |
Юридическая информация. |
run.sh |
Скрипт установки. |
Комплект поставки в виде исполняемого файла установщика
Комплект поставки этого типа содержит следующий файл.
Содержимое комплекта поставки (исполняемый файл установщика)
Элемент |
Описание |
Kaspersky_CyberTrace-Windows-%architecture-version%-Release.exe |
Исполняемый файл установщика. Список файлов внутри этого пакета приведен в подразделе «Файлы, содержащиеся в архивах и пакетах (Windows)» ниже. |
Файлы, содержащиеся в архивах и пакетах (Linux)
Пакеты RPM и DEB содержат следующий набор файлов.
Файлы, содержащиеся в архивах и пакетах (Linux)
Элемент |
Описание |
bin/.need_run_wizard |
Мастер первоначальной настройки Этот файл удаляется после завершения первоначальной настройки. |
bin/configure |
Бинарный файл утилиты-конфигуратора |
bin/en_US/* |
Файлы английской локализации. |
bin/kl_feed_service |
Бинарный файл Kaspersky CyberTrace Service. |
bin/kl_balancer_log.conf |
Конфигурационный файл журнала Balancer. |
bin/kl_feed_service_log.conf |
Конфигурационный файл журнала Kaspersky CyberTrace Service. |
bin/kl_balancer |
Бинарный файл Balancer. |
bin/kl_balancer.conf |
Конфигурационный файл Balancer |
modules/elasticsearch/* |
Каталог, содержащий файлы базы данных Elasticsearch. |
dmz/cron_dmz.sh |
Скрипт обновления потоков данных об угрозах с отдельного сервера. |
dmz/demofeeds.pem |
Сертификат необходим для доступа к демонстрационным потокам данных об угрозах. |
dmz/feeds.pem |
Сертификат необходим для доступа к демонстрационным потокам данных об угрозах. Он заменяется сертификатом, указанным при установке Kaspersky CyberTrace. |
dmz/kl_feed_compiler |
Бинарный файл, используемый Feed Utility для компиляции потоков данных об угрозах. |
dmz/kl_feed_util |
Бинарный файл Feed Utility. |
dmz/kl_feed_util.conf |
Конфигурационный файл Feed Utility. |
dmz/TextExtraction |
Утилита для парсинга файлов PDF. |
doc/Kaspersky_CyberTrace_Online_Documentation.html |
HTML-страница, перенаправляющая на онлайн-документацию по Kaspersky CyberTrace. |
doc/legal_notices.txt |
Юридическая информация. |
doc/license.txt |
Лицензионное соглашение (EULA). |
etc/systemd/system/cybertrace.service |
Файл модуля systemd для Kaspersky CyberTrace Service. |
etc/systemd/system/cybertrace_balancer.service |
Файл модуля systemd для Balancer. |
etc/systemd/system/cybertrace_db.service |
Файл модуля systemd для сервиса базы данных Elasticsearch. |
etc/kl_feed_service.conf |
Конфигурационный файл Kaspersky CyberTrace Service. |
etc/kl_feed_service_templates.conf |
Шаблон конфигурационного файла. |
etc/kl_feed_util.conf |
Конфигурационный файл Feed Utility. |
etc/kl_feed_util_diff.conf |
Конфигурационный файл Feed Utility для использования с инкрементными потоками данных об угрозах. |
feeds/APT_URL_Data_Feed.json.url.bin/* feeds/Botnet_CnC_URL_Data_Feed.json.url.bin/* feeds/Demo_Botnet_CnC_URL_Data_Feed.json.url.bin/* feeds/IoT_URL_Data_Feed.json.url.bin/* feeds/Malicious_URL_Data_Feed.json.url.bin/* feeds/Mobile_Botnet_CnC_URL_Data_Feed.json.url.bin/* feeds/Phishing_URL_Data_Feed.json.url.bin/* feeds/Ransomware_URL_Data_Feed.json.url.bin/* /feeds/White_List.json.url.bin/masks_0001.dat |
Скомпилированные маски URL для потоков данных об угрозах. |
feeds/Demo_Botnet_CnC_URL_Data_Feed.json feeds/Demo_IP_Reputation_Data_Feed.json feeds/Demo_Malicious_Hash_Data_Feed.json |
Демонстрационные потоки данных об угрозах. |
feeds/APT_Hash_Data_Feed.json feeds/APT_IP_Data_Feed.json feeds/APT_URL_Data_Feed.json feeds/Botnet_CnC_URL_Data_Feed.json feeds/IoT_URL_Data_Feed.json feeds/IP_Reputation_Data_Feed.json feeds/Malicious_Hash_Data_Feed.json feeds/Malicious_URL_Data_Feed.json feeds/Mobile_Botnet_CnC_URL_Data_Feed.json feeds/Mobile_Malicious_Hash_Data_Feed.json feeds/Phishing_URL_Data_Feed.json feeds/Ransomware_URL_Data_Feed.json feeds/ICS_Hash_Data_Feed.json |
Файлы для проверки работоспособности коммерческих потоков данных об угрозах. При обновлении эти файлы заменяются реальными коммерческими потоками данных об угрозах. |
httpsrv/etc/kl_feed_info.conf |
Файл, содержащий информацию о потоках данных об угрозах Kaspersky Threat Data Feeds. |
httpsrv/etc/kl_feed_info_diff.conf |
Файл, содержащий информацию о потоках данных об угрозах Kaspersky Threat Data Feeds, для которых доступны инкрементные версии. |
httpsrv/etc/ktfsaccess |
Файл, содержащий информацию об учетных записях Kaspersky CyberTrace. |
httpsrv/etc/ktfsstatistics.kvdb |
Вспомогательный файл для веб-интерфейса Kaspersky CyberTrace. Этот файл не входит в комплект поставки, а создается в процессе работы Kaspersky CyberTrace. |
httpsrv/etc/ktfsstorage.kvdb |
Файл, содержащий информацию об открытых сессиях и выполняющихся задачах. Этот файл не входит в комплект поставки, а создается в дальнейшем в процессе работы Kaspersky CyberTrace. |
httpsrv/etc/ktfstasks.kvdb |
Вспомогательный файл для веб-интерфейса Kaspersky CyberTrace. Этот файл не входит в комплект поставки, а создается в процессе работы Kaspersky CyberTrace. |
httpsrv/etc/osint_feed_list.conf |
Файл, содержащий список поддерживаемых потоков данных об угрозах «OSINT feed». |
httpsrv/kl_feed_service_cert.pem |
Путь к сертификату в формате PEM на локальном сервере для HTTPS-соединений. |
httpsrv/kl_feed_service_private.pem |
Путь к закрытому ключу в формате PEM на локальном сервере для HTTPS-соединений. |
httpsrv/templates/* |
Каталог, содержащий шаблоны для веб-интерфейса Kaspersky CyberTrace. |
httpsrv/templates_kuma/* |
Каталог, содержащий шаблоны веб-интерфейса Kaspersky CyberTrace для интеграции с KUMA. |
integration/* |
Файлы для интеграции с конкретным SIEM-решением. Список этих файлов приведен в подразделах «Файлы интеграции...» ниже. |
plugins/virus_total/* |
Каталог, содержащий файлы для плагина VirusTotal. |
scripts/cron_cybertrace.sh |
Скрипт для обновления потоков данных об угрозах, когда Kaspersky CyberTrace Service и Feed Utility установлены на разных серверах. |
tools/integrity_checker |
Утилита, проверяющая подписи плагинов. |
tools/kl_access_util |
Password Utility |
tools/kl_feed_compiler |
Бинарный файл, используемый Feed Utility для компиляции потоков данных об угрозах. |
tools/kl_feed_util |
Бинарный файл Feed Utility. |
tools/log_scanner |
Бинарный файл Log Scanner. |
tools/log_scanner.conf |
Конфигурационный файл Log Scanner. |
tools/openssl |
Бинарный файл OpenSSL. |
tools/openssl.cnf |
Конфигурационный файл OpenSSL. |
tools/output/feeds.info |
Вспомогательный файл. |
tools/TextExtraction |
Утилита для парсинга файлов PDF. |
var/graphs/* |
Каталог с файлами графов. |
var/retroscan/* |
Каталог с файлами ретроспективного сканирования. |
verification/kl_verification_test_leef.txt |
События в формате LEEF для проверки работоспособности. |
verification/kl_verification_test_cef.txt |
События в формате CEF для проверки работоспособности. |
Файлы, содержащиеся в архивах и пакетах (Windows)
Исполняемые файлы установщика содержат следующий набор файлов.
Файлы, содержащиеся в архивах и пакетах (Windows)
Элемент |
Описание |
bin\.need_run_wizard |
Мастер первоначальной настройки Этот файл удаляется после завершения первоначальной настройки. |
bin\en_US |
Файлы английской локализации. |
bin\kl_feed_service.conf |
Конфигурационный файл Kaspersky CyberTrace Service. |
bin\kl_feed_service.exe |
Бинарный файл Kaspersky CyberTrace Service. |
bin\kl_balancer_log.conf |
Конфигурационный файл журнала Balancer. |
bin\kl_feed_service_log.conf |
Конфигурационный файл журнала Kaspersky CyberTrace Service. |
bin\kl_feed_service_template.conf |
Шаблон конфигурационного файла Kaspersky CyberTrace Service. |
bin\kl_feed_util.conf |
Конфигурационный файл Feed Utility. |
bin\kl_balancer.exe |
Бинарный файл Balancer. |
bin\kl_balancer.conf |
Конфигурационный файл Balancer. |
bin\kl_feed_util_diff.conf |
Конфигурационный файл Feed Utility для использования с инкрементными потоками данных об угрозах. |
modules\elasticsearch\* |
Папка, содержащая файлы базы данных Elasticsearch. |
dmz\cron_dmz.cmd |
Скрипт обновления потоков данных об угрозах с отдельного сервера. |
dmz\demofeeds.pem |
Сертификат, необходимый для доступа к демонстрационным потокам данных об угрозах. |
dmz\feeds.pem |
Сертификат, необходимый для доступа к демонстрационным потокам данных об угрозах. Он заменяется сертификатом, указанным при установке Kaspersky CyberTrace. |
dmz\kl_feed_compiler.exe |
Бинарный файл, используемый Feed Utility для компиляции потоков данных об угрозах. |
dmz\kl_feed_util.conf |
Конфигурационный файл Feed Utility. |
dmz\kl_feed_util.exe |
Бинарный файл Feed Utility. |
dmz\TextExtraction.exe |
Утилита для парсинга файлов PDF. |
doc\Kaspersky_CyberTrace_Online_Documentation.html |
HTML-страница, перенаправляющая на онлайн-документацию по Kaspersky CyberTrace. |
doc\legal_notices.txt |
Юридическая информация. |
doc\license.rtf |
Лицензионное соглашение (EULA). |
doc\ReleaseNotes.txt |
Заметки о выпуске. |
feeds\APT_URL_Data_Feed.json.url.bin\* feeds\Botnet_CnC_URL_Data_Feed.json.url.bin\* feeds\Demo_Botnet_CnC_URL_Data_Feed.json.url.bin\* feeds\IoT_URL_Data_Feed.json.url.bin\* feeds\Malicious_URL_Data_Feed.json.url.bin\* feeds\Mobile_Botnet_CnC_URL_Data_Feed.json.url.bin\* feeds\Phishing_URL_Data_Feed.json.url.bin\* feeds\Ransomware_URL_Data_Feed.json.url.bin\* feeds |
Скомпилированные маски URL для потоков данных об угрозах. |
feeds\Demo_Botnet_CnC_URL_Data_Feed.json feeds\Demo_IP_Reputation_Data_Feed.json feeds\Demo_Malicious_Hash_Data_Feed.json |
Демонстрационные потоки данных об угрозах. |
feeds\APT_Hash_Data_Feed.json feeds\APT_IP_Data_Feed.json feeds\APT_URL_Data_Feed.json feeds\Botnet_CnC_URL_Data_Feed.json feeds\IoT_URL_Data_Feed.json feeds\IP_Reputation_Data_Feed.json feeds\Malicious_Hash_Data_Feed.json feeds\Malicious_URL_Data_Feed.json feeds\Mobile_Botnet_CnC_URL_Data_Feed.json feeds\Mobile_Malicious_Hash_Data_Feed.json feeds\Phishing_URL_Data_Feed.json feeds\Ransomware_URL_Data_Feed.json feeds\ICS_Hash_Data_Feed.json |
Файлы для проверки работоспособности коммерческих потоков данных об угрозах. При обновлении эти файлы заменяются реальными коммерческими потоками данных об угрозах. |
httpsrv\etc\kl_feed_info.conf |
Файл, содержащий информацию о потоках данных об угрозах Kaspersky Threat Data Feeds. |
httpsrv\etc\kl_feed_info_diff.conf |
Файл, содержащий информацию о потоках данных об угрозах Kaspersky Threat Data Feeds, для которых доступны инкрементные версии. |
httpsrv\etc\ktfsaccess |
Файл, содержащий информацию об учетных записях Kaspersky CyberTrace. |
httpsrv\etc\ktfsstatistics.kvdb |
Вспомогательный файл для веб-интерфейса Kaspersky CyberTrace. Этот файл не входит в комплект поставки, а создается в процессе работы Kaspersky CyberTrace. |
httpsrv\etc\ktfsstorage.kvdb |
Файл, содержащий информацию об открытых сессиях и выполняющихся задачах. Этот файл не входит в комплект поставки, а создается в процессе работы Kaspersky CyberTrace. |
httpsrv\etc\ktfstasks.kvdb |
Вспомогательный файл для веб-интерфейса Kaspersky CyberTrace. Этот файл не входит в комплект поставки, а создается в процессе работы Kaspersky CyberTrace. |
httpsrv\etc\osint_feed_list.conf |
Файл, содержащий список поддерживаемых потоков данных об угрозах «OSINT feed». |
httpsrv\kl_feed_service_cert.pem |
Путь к сертификату в формате PEM на локальном сервере для HTTPS-соединений. |
httpsrv\kl_feed_service_private.pem |
Путь к закрытому ключу в формате PEM на локальном сервере для HTTPS-соединений. |
httpsrv\templates\* |
Папка, содержащая шаблоны для веб-интерфейса Kaspersky CyberTrace. |
httpsrv\templates_kuma |
Папка, содержащая шаблоны веб-интерфейса Kaspersky CyberTrace для интеграции с KUMA. |
integration\* |
Файлы для интеграции с конкретным SIEM-решением. Список этих файлов приведен в подразделах «Файлы интеграции...» ниже. |
plugins\virus_total\* |
Папка, содержащая файлы для плагина VirusTotal. |
scripts\cron_cybertrace.cmd |
Скрипт для обновления потоков данных об угрозах, когда Kaspersky CyberTrace Service и Feed Utility установлены на разных серверах. |
tools\integrity_checker.exe |
Утилита, проверяющая подписи плагинов. |
tools\kl_access_util.exe |
Password Utility |
tools\kl_feed_compiler.exe |
Бинарный файл, используемый Feed Utility для компиляции потоков данных об угрозах. |
tools\kl_feed_util.exe |
Бинарный файл Feed Utility. |
tools\log_scanner.conf |
Конфигурационный файл Log Scanner. |
tools\log_scanner.exe |
Бинарный файл Log Scanner. |
tools\openssl.cnf |
Конфигурационный файл OpenSSL для генерации самоподписанного сертификата. |
tools\openssl.exe |
Бинарный файл OpenSSL. |
tools\TextExtraction.exe |
Утилита для парсинга файлов PDF. |
var\graphs\* |
Папка с файлами графов. Эта папка не входит в комплект поставки и создается при запуске Kaspersky CyberTrace. |
var\retroscan\* |
Папка с файлами ретроспективного сканирования. Эта папка не входит в комплект поставки и создается при запуске Kaspersky CyberTrace. |
verification\kl_verification_test_leef.txt |
События в формате LEEF для проверки работоспособности. |
verification\kl_verification_test_cef.txt |
События в формате CEF для проверки работоспособности. |
Файлы интеграции (Splunk)
Файлы интеграции для Splunk описаны в следующей таблице.
Файлы интеграции (Splunk)
Элемент |
Описание |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk.tar.gz |
Файл приложения Kaspersky CyberTrace App for Splunk для однокомпонентной схемы интеграции. |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Forwarder.tar.gz |
Файл приложения Kaspersky CyberTrace App for Splunk Heavy Forwarder для распределенной схемы интеграции. |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Search-Head.tar.gz |
Файл приложения Kaspersky CyberTrace App for Splunk Search Head для распределенной схемы интеграции. |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Universal-Forwarder.tar.gz |
Файл приложения Kaspersky CyberTrace App for Splunk Universal Forwarder для распределенной схемы интеграции. |
Файлы интеграции (ArcSight)
Файлы интеграции для ArcSight описаны в следующей таблице.
Файлы интеграции (ArcSight)
Элемент |
Описание |
integration/arcsight/Kaspersky_CyberTrace_Connector.arb |
ARB-файл Kaspersky CyberTrace Connector для ArcSight. |
Файлы интеграции (QRadar)
Файлы интеграции для QRadar описаны в следующей таблице.
Файлы интеграции (QRadar)
Элемент |
Описание |
integration/qradar/sample_initiallog.txt |
Пример журнала для первой передачи событий в QRadar. |
integration/qradar/sample_qid.txt |
Пример списка QID для импорта в QRadar. |
Файлы интеграции (RSA NetWitness)
Файлы интеграции для RSA NetWitness описаны в следующей таблице.
Файлы интеграции (RSA NetWitness)
Элемент |
Описание |
integration/rsa/additional_elements/CyberTrace_Charts.zip |
Файл, содержащий предварительно настроенные диаграммы. |
integration/rsa/additional_elements/CyberTrace_Reports.zip |
Файл, содержащий предварительно настроенный отчет. |
integration/rsa/additional_elements/CyberTrace_Rules.zip |
Файл, содержащий правила для работы с событиями из Kaspersky CyberTrace Service. |
integration/rsa/additional_elements/index-concentrator-custom.xml |
Пример данных, которые можно добавить в файл index-concentrator-custom.xml. Этот пример данных содержит только описание полей контекста kl. |
integration/rsa/additional_elements/Kaspersky CyberTrace.zip |
Файл для создания информационной панели Kaspersky CyberTrace в RSA NetWitness 11.0. |
integration/rsa/additional_elements/Kaspersky+CyberTrace.cfg |
Файл для создания информационной панели Kaspersky CyberTrace в RSA NetWitness 10.6. |
integration/rsa/additional_elements/MetaGroups.jsn |
Файл, содержащий метагруппу, используемую для просмотра полей в RSA NetWitness, которые заполняет Kaspersky CyberTrace Service. |
integration/rsa/additional_elements/MetaGroups_without_kl_fields.jsn |
Метагруппа для вкладки «Navigate». Эта метагруппа не содержит полей контекста |
integration/rsa/additional_elements/table-map-custom.xml |
Пример данных, которые можно добавить в файл table-map-custom.xml. Этот пример данных содержит только описание полей контекста |
integration/rsa/cybertrace/cybertrace.ini |
Файл, используемый для интеграции Kaspersky CyberTrace с RSA NetWitness. |
integration/rsa/cybertrace/v20_cybertracemsg.xml |
Файл, используемый для интеграции Kaspersky CyberTrace с RSA NetWitness |
Файлы интеграции (LogRhythm)
Файлы интеграции для LogRhythm описаны в следующей таблице.
Файлы интеграции (LogRhythm)
Элемент |
Описание |
integration/logrhythm/events/* |
Файлы, содержащие правила Kaspersky CyberTrace для импорта в LogRhythm:
|