В этом разделе описывается порядок проверки возможностей Kaspersky CyberTrace с помощью проверки работоспособности.
Перед изменением каких-либо настроек процесса сопоставления необходимо выполнить проверку работоспособности.
О проверке работоспособности
Проверка работоспособности — это процедура, позволяющая проверить возможности Kaspersky CyberTrace и убедиться в корректности интеграции.
В ходе проверки проверяется, поступают ли события из Splunk в Kaspersky CyberTrace Service, поступают ли события из Kaspersky CyberTrace Service в Splunk, и корректно ли проходит парсинг событий в Kaspersky CyberTrace Service с использованием регулярных выражений.
В этом разделе описывается сценарий проверки для схемы интеграции по умолчанию (в этой схеме форвардер, индексатор и search head установлены на одном сервере), однако проверку работоспособности также можно использовать после внесения изменений в параметры конфигурации для проверки корректности работы Kaspersky CyberTrace и SIEM-решения.
Файл проверки работоспособности
Файл проверки работоспособности — это файл%service_dir%/verification/kl_verification_test_cef.txt
. В этом файле содержится набор событий с URL, IP-адресами и хешами.
Сценарий проверки работоспособности (краткое описание)
Чтобы выполнить проверку работоспособности, выполните следующие действия:
Самостоятельная диагностика — это автоматический тест потока данных об угрозах, выполняемый приложением Kaspersky CyberTrace App.
Сценарий проверки работоспособности
Сценарий проверки работоспособности состоит из следующих этапов:
1-й этап. Указание адреса Splunk Forwarder в конфигурационном файле утилиты Log Scanner.
Укажите адрес и порт, которые прослушивает Splunk Forwarder, в элементе Connection
конфигурационного файла Log Scanner.
2-й этап. Отправка проверочного файла в Splunk Forwarder
Необходимо отправить проверочный файл в Splunk Forwarder с помощью утилиты Log Scanner.
Перед отправкой файла убедитесь, что Kaspersky CyberTrace Service запущена.
Следующие команды отправляют содержимое файла kl_verification_test_cef.txt
в Kaspersky CyberTrace Service:
./log_scanner -p ../verification/kl_verification_test_cef.txt
log_scanner.exe -p ..\verification\kl_verification_test_cef.txt
Получив данные от Log Scanner, Splunk Forwarder отправляет результаты проверки в Kaspersky CyberTrace. Обнаруженные индикаторы из проверочного файла отправляются обратно в Splunk Forwarder. Адрес Splunk Forwarder указывается в настройках сервисов Kaspersky CyberTrace. Также этот адрес указывается при установке или перенастройке Kaspersky CyberTrace.
3-й этап. Контроль результатов проверки работоспособности
На этом шаге необходимо проверить правильность обработки URL, IP-адресов и хешей в приложении Kaspersky CyberTrace App.
IP-адреса из тестовых записей, используемых для проверки, не отображаются на карте Location of matched IPs. Для проверки корректности работы карты рекомендуется использовать другие записи из базы данных Kaspersky CyberTrace. Записи, содержащие IP-адреса, можно получить на вкладке Indicators в веб-интерфейсе Kaspersky CyberTrace.
Чтобы проконтролировать результаты проверки работоспособности, выполните следующие действия:
Откроется информационная панель Kaspersky CyberTrace Matches.
Результаты проверки работоспособности зависят от используемых потоков данных об угрозах. В следующей таблице приведены целевые номера для проверки работоспособности при использовании всех коммерческих потоков данных об угрозах.
Результаты проверки работоспособности (коммерческие потоки данных об угрозах)
Используемый поток данных об угрозах |
Значение eventName |
Обнаруженные объекты |
Malicious URL Data Feed |
KL_Malicious_URL |
http://fakess123.nu http://badb86360457963b90faac9ae17578ed.com |
Phishing URL Data Feed |
KL_Phishing_URL |
http://fakess123ap.nu http://e77716a952f640b42e4371759a661663.com |
Botnet C&C URL Data Feed |
KL_BotnetCnC_URL |
http://fakess123bn.nu http://a7396d61caffe18a4cffbb3b428c9b60.com |
IP Reputation Data Feed |
KL_IP_Reputation |
192.0.2.0 192.0.2.3 |
Malicious Hash Data Feed |
KL_Malicious_Hash_MD5 |
FEAF2058298C1E174C2B79AFFC7CF4DF 44D88612FEA8A8F36DE82E1278ABB02F C912705B4BBB14EC7E78FA8B370532C9 |
Mobile Malicious Hash Data Feed |
KL_Mobile_Malicious_Hash_MD5 |
60300A92E1D0A55C7FDD360EE40A9DC1 |
Mobile Botnet C&C URL Data Feed |
KL_Mobile_BotnetCnC_Hash_MD5 |
001F6251169E6916C455495050A3FB8D |
Mobile Botnet C&C URL Data Feed |
KL_Mobile_BotnetCnC_URL |
http://sdfed7233dsfg93acvbhl.su/steallallsms.php |
Ransomware URL Data Feed |
KL_Ransomware_URL |
http://fakess123r.nu http://fa7830b4811fbef1b187913665e6733c.com |
APT URL Data Feed |
KL_APT_URL |
http://b046f5b25458638f6705d53539c79f62.com |
APT Hash Data Feed |
KL_APT_Hash_MD5 |
7A2E65A0F70EE0615EC0CA34240CF082 |
APT IP Data Feed |
KL_APT_IP |
192.0.2.4 |
IoT URL Data Feed |
KL_IoT_URL |
http://e593461621ee0f9134c632d00bf108fd.com/.i |
ICS Hash Data Feed |
KL_ICS_Hash_MD5 |
7A8F30B40C6564EFF95E678F7C43346C |
В следующей таблице приведены целевые номера для проверки работоспособности при использовании только демонстрационных потоков данных об угрозах.
Результаты проверки работоспособности (демонстрационные потоки данных об угрозах)
Используемый поток данных об угрозах |
Значение eventName |
Обнаруженные объекты |
DEMO Botnet_CnC_URL_Data_Feed |
KL_BotnetCnC_URL |
http://5a015004f9fc05290d87e86d69c4b237.com http://fakess123bn.nu |
DEMO IP_Reputation_Data_Feed |
KL_IP_Reputation |
192.0.2.1 192.0.2.3 |
DEMO Malicious_Hash_Data_Feed |
KL_Malicious_Hash_MD5 |
776735A8CA96DB15B422879DA599F474 FEAF2058298C1E174C2B79AFFC7CF4DF 44D88612FEA8A8F36DE82E1278ABB02F |
4-й этап. Выполнение самостоятельной диагностики
Самостоятельная диагностика — это автоматический тест потока данных об угрозах, выполняемый приложением Kaspersky CyberTrace App с помощью скрипта поиска. Необходимо убедиться в корректности результатов этого теста.
Чтобы выполнить самостоятельную диагностику, выполните следующие действия:
Откроется информационная панель Kaspersky CyberTrace Status.
status
для всех используемых потоков данных об угрозах:ОК
, а значения для всех остальных потоков данных об угрозах должны быть FALSE
.ОК
. Все остальные значения, в том числе значения для демонстрационных потоков данных об угрозах, должны быть FALSE
.На следующем рисунке показан пример результатов самостоятельной диагностики для коммерческих потоков данных об угрозах. В этом примере используются все коммерческие потоки данных об угрозах, а демонстрационные потоки данных об угрозах не используются. Как и ожидалось, значение для демонстрационных потоков данных об угрозах — FALSE
.
Результаты самостоятельной диагностики
5-й этап (необязательный). Очистка Splunk от событий, полученных при выполнении проверки работоспособности
Чтобы очистить Splunk от событий, полученных от Kaspersky CyberTrace при выполнении проверки работоспособности, выполните следующие действия:
Удаление событий из индекса main возможно только под учетной записью пользователя с ролью can_delete. Чтобы добавить эту роль в учетную запись пользователя, необходимо выбрать Settings > Roles в главном меню Splunk.
index="main" sourcetype="kl_cybertrace_events" | delete
Если у кнопки другое название, нажмите на нее и в раскрывающемся списке выберите All time.
Приложение «Search & Reporting»