Kaspersky CyberTrace поддерживает распределенные среды Splunk. Схема интеграции для распределенных сред Splunk называется распределенной схемой интеграции.
О приложениях и сервисах, используемых в распределенной схеме интеграции
В распределенной схеме интеграции Kaspersky CyberTrace разделяется на два приложения и один сервис:
Этот сервис сопоставляет события Splunk с потоками данных Kaspersky Threat Data Feeds.
Kaspersky CyberTrace Service отправляет полученные события в единственный индексатор, который ведет индекс событий, полученных от Kaspersky CyberTrace.
Этот сервис может быть установлен на отдельном сервере.
Это приложение содержит информационные панели Kaspersky CyberTrace App, шаблоны информационных сообщений и скрипт поиска.
Это приложение предназначено для установки в экземпляре Splunk, выступающем в качестве search head и отправляющем поисковые запросы в индексатор, который ведет индекс событий, полученных от Kaspersky CyberTrace.
Это приложение содержит правила пересылки событий из Splunk в Kaspersky CyberTrace Service. Оно также получает события из Kaspersky CyberTrace Service.
Это приложение предназначено для установки в экземплярах Splunk, которые должны пересылать события в Kaspersky CyberTrace Service.
Kaspersky CyberTrace App Forwarder разделяется на два приложения в зависимости от типа Splunk Forwarder, используемого в распределенной схеме интеграции:
О вариантах схемы интеграции
Следующие варианты схемы распределенной схемы интеграции демонстрируют общий подход к интеграции Kaspersky CyberTrace с распределенной средой Splunk. В зависимости от того, как организована распределенная среда Splunk, может потребоваться изменить или комбинировать эти варианты.
Вариант с одним индексатором и несколькими форвардерами
Один индексатор, несколько форвардеров
В варианте с одним индексатором и несколькими форвардерами несколько Heavy Forwarder или Universal Forwarder получают и пересылают события непосредственно в Kaspersky CyberTrace Service. Они должны использовать Forwarder App (для соответствующего типа Forwarder). Один из Forwarder'ов получает результаты сопоставления от Kaspersky CyberTrace Service. Форвардер отправляет результаты сопоставления в индексатор, который сохраняет их в индексе main, используемом Kaspersky CyberTrace для Splunk Search Head App.
Вариант с несколькими индексаторами и несколькими форвардерами
В варианте с несколькими индексаторами и несколькими форвардерами несколько Heavy Forwarder или Universal Forwarder получают и пересылают события непосредственно в Kaspersky CyberTrace Service. Они должны использовать Forwarder App (для соответствующего типа Forwarder). Один из Forwarder'ов получает результаты сопоставления от Kaspersky CyberTrace Service. Форвардер отправляет совпадения в индексаторы, которые сохраняют их в индексе main, используемом Kaspersky CyberTrace App.
Порты и адреса по умолчанию
По умолчанию Forwarder App и Kaspersky CyberTrace Service настроены на использование определенных адресов и портов для пересылки событий и получения результатов сопоставления. Эти адреса и порты необходимо изменить в соответствии со структурой используемой распределенной среды Splunk.
Необходимо изменить адреса и порты по умолчанию, которые используются в Forwarder App и Kaspersky CyberTrace Service.
По умолчанию Forwarder App:
:3000
.:9998
. Эти события хранятся в индексе main
.127.0.0.1:9999
. По умолчанию Kaspersky CyberTrace Service работает следующим образом:
127.0.0.1:9999
.127.0.0.1:9998
.Формат событий
По умолчанию Kaspersky CyberTrace App и Kaspersky CyberTrace Service настроены для получения событий в определенном формате: