Kaspersky CyberTrace App считывает свои параметры из конфигурационных файлов. Эти конфигурационные файлы определяют настройки ввода и вывода и формат событий, используемый Kaspersky CyberTrace App.
После внесения изменений в конфигурационные файлы Kaspersky CyberTrace App необходимо перезапустить Splunk.
Редактировать следует только те конфигурационные файлы Kaspersky CyberTrace, которые описаны в этом разделе. Изменение других конфигурационных файлов Kaspersky CyberTrace App может привести к непредсказуемому поведению.
О конфигурационных файлах
Для настройки Kaspersky CyberTrace App можно использовать следующие конфигурационные файлы ($SPLUNK_HOME
соответствует каталогу установки Splunk):
$SPLUNK_HOME/etc/apps/Kaspersky-CyberTrace-App-for-Splunk/default/commands.conf
В этом конфигурационном файле задается команда для скрипта поиска.
$SPLUNK_HOME/etc/apps/Kaspersky-CyberTrace-App-for-Splunk/default/inputs.conf
В этом конфигурационном файле задаются настройки ввода Kaspersky CyberTrace App. Сюда входят порты и адреса для приема данных из источников событий и для входящих событий обнаруженных киберугроз от Kaspersky CyberTrace Service.
$SPLUNK_HOME/etc/apps/Kaspersky-CyberTrace-App-for-Splunk/default/outputs.conf
В этом конфигурационном файле задаются параметры пересылки событий в Kaspersky CyberTrace Service.
$SPLUNK_HOME/etc/apps/Kaspersky-CyberTrace-App-for-Splunk/default/props.conf
В этом конфигурационном файле задаются параметры обработки входных данных.
$SPLUNK_HOME/etc/apps/Kaspersky-CyberTrace-App-for-Splunk/default/savedsearches.conf
В этом конфигурационном файле задаются параметры для шаблонов информационных сообщений.
Файл commands.conf по умолчанию
В этом файле задается скрипт поиска, который Kaspersky CyberTrace App будет использовать при выполнении пользователем команды klsearch
.
Ниже показано содержимое конфигурационного файла commands.conf по умолчанию.
[klsearch] filename = kl_search.py |
Файл inputs.conf по умолчанию
В этом конфигурационном файле задаются настройки ввода для Kaspersky CyberTrace App.
По умолчанию Kaspersky CyberTrace App работает следующим образом:
:9998
.:3000
(а затем пересылаются на адрес 127.0.0.1:9999
, заданный в файле outputs.conf).Ниже показано содержимое конфигурационного файла inputs.conf по умолчанию.
[tcp://:9998] _INDEX_AND_FORWARD_ROUTING=local connection_host = dns index = main sourcetype = kl_cybertrace_events source = tcp:9998 disabled = false
[tcp://:3000] _TCP_ROUTING = service9999 |
Файл outputs.conf по умолчанию
В этом конфигурационном файле задаются настройки вывода для Kaspersky CyberTrace App.
По умолчанию Kaspersky CyberTrace App пересылает данные с адреса с портом :3000
в Kaspersky CyberTrace Service по адресу 127.0.0.1:9999
. Входной порт (:3000
) задается в файле inputs.conf.
Ниже показано содержимое конфигурационного файла outputs.conf по умолчанию.
[tcpout] defaultGroup = noforward disabled = false
[indexAndForward] index=true
[tcpout:service9999] disabled=false server = 127.0.0.1:9999 sendCookedData = false |
Файл props.conf по умолчанию
Этот файл определяет, как Splunk обрабатывает входящие данные.
По умолчанию Kaspersky CyberTrace App работает следующим образом:
Например, если входящие данные состоят из последовательности «%data_1%\n\n%data_2%»
, а перенос строки состоит из одного или нескольких символов \n
, Splunk разбивает эту последовательность на два события (%data_1%
и %data_2%
).
Ниже показано содержимое конфигурационного файла props.conf по умолчанию.
[source::tcp:3000] TIME_PREFIX = ^ MAX_TIMESTAMP_LOOKAHEAD = 17 TIME_FORMAT = %b %d %H:%M:%S LINE_BREAKER = ([\n]+) SHOULD_LINEMERGE = false
[source::tcp:9998] TIME_PREFIX = ^ MAX_TIMESTAMP_LOOKAHEAD = 17 TIME_FORMAT = %b %d %H:%M:%S LINE_BREAKER = ([\n]+) SHOULD_LINEMERGE = false |
Управление источниками событий
Можно изменить порт, который Kaspersky CyberTrace прослушивает для получения входящих событий от источника, или добавить новые источники событий.
Чтобы изменить порт, который Kaspersky CyberTrace прослушивает для получения входящих событий от источника, выполните следующие действия:
3000
на требуемый номер порта.Например, если требуется изменить порт 3000
на 3010
, запись в файле inputs.conf будет выглядеть следующим образом:
[tcp://:3010] _TCP_ROUTING = service9999 |
Например, если требуется изменить порт 3000
на 3010
, запись в файле props.conf будет выглядеть следующим образом:
[source::tcp:3010] TIME_PREFIX = ^ MAX_TIMESTAMP_LOOKAHEAD = 17 TIME_FORMAT = %b %d %H:%M:%S LINE_BREAKER = ([\n]+) SHOULD_LINEMERGE = false |
Чтобы добавить новый источник событий, выполните следующие действия:
service9999
.Все данные из этого источника будут пересылаться в Kaspersky CyberTrace Service.
Убедитесь, что данные из нового источника событий успешно обрабатываются регулярными выражениям, используемыми Kaspersky CyberTrace.
Ниже приведен пример добавления адреса :3001
в качестве источника события; в примере задается, что данные с адреса :3001
должны обрабатываться, как и другие входные данные в схеме интеграции по умолчанию (в этой схеме форвардер, индексатор и search head установлены на одном сервере).
# в inputs.conf [tcp://:3001] _TCP_ROUTING = service9999
# в props.conf [source::tcp:3001] TIME_PREFIX = ^ MAX_TIMESTAMP_LOOKAHEAD = 17 TIME_FORMAT = %b %d %H:%M:%S LINE_BREAKER = ([\n]+) SHOULD_LINEMERGE = false |
Изменение адреса и порта для данных из Kaspersky CyberTrace Service
По умолчанию в Kaspersky CyberTrace App настроено получение данных от Kaspersky CyberTrace Service на порт 9998
по любому доступному адресу. Это задается в конфигурационном файле inputs.conf Kaspersky CyberTrace App. Если требуется получать данные от Kaspersky CyberTrace Service только по определенному адресу и на определенный порт (например, если Splunk имеет доступ к нескольким сетевым интерфейсам), отредактируйте файл inputs.conf соответствующим образом.
Чтобы задать адрес и порт, где Kaspersky CyberTrace App должен получать данные от Kaspersky CyberTrace Service, необходимо задать следующие правила:
[tcp://127.0.0.1:<порт>]
[tcp://<адрес>:<порт>]
[tcp://:<порт>]
Обратите внимание, что этот формат может повлиять на безопасность, поскольку Kaspersky CyberTrace App будет получать информацию на указанный порт со всех доступных сетевых интерфейсов.
В приведенных выше примерах формата <адрес>
и <порт>
— это IP-адрес и порт, которые Kaspersky CyberTrace App должен прослушивать для получения входящих данных от Kaspersky CyberTrace Service.
Возможно, также потребуется изменить адреса и порты для исходящих событий, используемые в Kaspersky CyberTrace.
Ниже приведены примеры указания адреса и порта для получения данных от Kaspersky CyberTrace Service.
В следующем примере Kaspersky CyberTrace Service и Splunk расположены на одном сервере. Kaspersky CyberTrace App получает события обнаруженных киберугроз на порту 9998
того же сервера.
[tcp://127.0.0.1:9998] _INDEX_AND_FORWARD_ROUTING=local connection_host = dns index = main sourcetype = kl_cybertrace_events source = tcp:9998 disabled = false |
В следующем примере Kaspersky CyberTrace Service и Splunk расположены на разных серверах. Kaspersky CyberTrace App получает события обнаруженных киберугроз от Kaspersky CyberTrace Service по адресу 192.0.2.42:9997
.
[tcp://192.0.2.42:9997] _INDEX_AND_FORWARD_ROUTING=local connection_host = dns index = main sourcetype = kl_cybertrace_events source = tcp:9997 disabled = false |
В следующем примере Kaspersky CyberTrace App получает события обнаруженных киберугроз от Kaspersky CyberTrace Service на порт 3000
любого доступного адреса.
[tcp://:3000] _INDEX_AND_FORWARD_ROUTING=local connection_host = dns index = main sourcetype = kl_cybertrace_events source = tcp:3000 disabled = false |
Настройка шаблонов информационных сообщений
В Kaspersky CyberTrace входит несколько шаблонов информационных сообщений, которые можно использовать и настраивать на информационной панели Alerts.
Доступны следующие шаблоны информационных сообщений:
Данное информационное сообщение срабатывает, если за последние 24 часа были обнаружены киберугрозы при сопоставлении с потоками данных об угрозах Kaspersky Threat Data Feeds.
Данное информационное сообщение срабатывает, если за последние 24 часа не было обнаружено киберугроз при сопоставлении с потоками данных об угрозах Kaspersky Threat Data Feeds.
Это предупреждение срабатывает, если в течение одной минуты было обнаружено 5000 совпадений при сопоставлении с потоками данных об угрозах Kaspersky Threat Data Feeds.
Данное информационное сообщение срабатывает в случае недоступности Kaspersky CyberTrace Service.
Данное информационное сообщение срабатывает при запуске Kaspersky CyberTrace Service.
Ниже приведены настройки Kaspersky CyberTrace App по умолчанию:
Их можно выключить на информационной панели Alerts.
Splunk отображает информационное сообщение в разделе «Triggered Alerts».
Чтобы включить уведомления по электронной почте для информационных сообщений, выполните следующие действия: