По умолчанию и Kaspersky CyberTrace Service, и Kaspersky CyberTrace App используют следующую схему интеграции. Это однокомпонентная схема интеграции.
О приложениях и сервисах
Однокомпонентная схема интеграции использует одно приложение и один сервис:
Этот сервис сопоставляет события Splunk с потоками данных Kaspersky Threat Data Feeds.
Kaspersky CyberTrace Service отправляет полученные события в Splunk. Splunk хранит события из Kaspersky CyberTrace Service в индексе main
.
Это приложение содержит информационные панели приложения Kaspersky CyberTrace App, шаблоны информационных сообщений и скрипт поиска. Приложение также содержит правила парсинга событий Kaspersky CyberTrace Service и правила пересылки событий из Splunk в Kaspersky CyberTrace Service.
Однокомпонентная схема интеграции
В однокомпонентной схеме интеграции приложения Splunk и Kaspersky CyberTrace Service по умолчанию работают на одном сервере (IP-адрес 127.0.0.1
). Kaspersky CyberTrace App принимает входные данные на порт 3000
и перенаправляет их в Kaspersky CyberTrace Service на порте 9999
. После этого Kaspersky CyberTrace Service возвращает результаты сопоставления в Kaspersky CyberTrace App на порт 9998
.
Чтобы установить Kaspersky CyberTrace Service на отдельный сервер, при установке Kaspersky CyberTrace необходимо указать адреса и порты, используемые Kaspersky CyberTrace Service и приложением Kaspersky CyberTrace App.
Однокомпонентная схема интеграции
Формат событий
По умолчанию Kaspersky CyberTrace App и Kaspersky CyberTrace Service получают события в определенном формате:
http://
или https://
). Если URL в событиях, передаваемых устройствами, не содержат указания на протокол, необходимо соответствующим образом изменить регулярное выражение.