Рекомендуется использовать Kaspersky CyberTrace Service вместе с Log Scanner в следующих случаях:
Это может быть удобно при расследовании инцидентов информационной безопасности, когда используемое решение SIEM недоступно или решения SIEM не используются.
Настройка Kaspersky CyberTrace Service и Log Scanner
Kaspersky CyberTrace Service и Log Scanner должны взаимодействовать правильным образом, поэтому необходимо обеспечить взаимное соответствие их параметров:
Settings > Connection
конфигурационного файла Log Scanner, должен соответствовать порту, указанному в элементе InputSettings > ConnectionString
конфигурационного файла Kaspersky CyberTrace Service.Settings > ThreadsCount
конфигурационного файла Log Scanner, должно быть меньше, чем количество, указанное в элементе ServiceSettings > ScannersCount
конфигурационного файла Kaspersky CyberTrace Service. Settings > Pattern
— должны поддаваться парсингу с помощью регулярных выражений, указанных в элементе Configuration > InputSettings > RegExps
конфигурационного файла Kaspersky CyberTrace Service.Примеры конфигурационных файлов
Ниже приведен отрывок из примера конфигурационного файла Kaspersky CyberTrace Service.
<Configuration> <InputSettings> <RegExps> <Source id="default"> <!--You can use them in the OutputSettings->EventFormat string with the pattern %REGEXPNAME%--> ... <RE_MD5>md5=(.*?)(?:$|\s)</RE_MD5> <RE_SHA1>sha1=(.*?)(?:$|\s)</RE_SHA1> <RE_SHA256>sha256=(.*?)(?:$|\s)</RE_SHA256> <RE_URL>url=(.*?)(?:$|\s)</RE_URL> <RE_IP>ip=(.*?)(?:$|\s)</RE_IP> </Source> </RegExps> <ConnectionString>127.0.0.1:9999</ConnectionString> <!-- <ip>:<port>. Threat Feed Service listens for <ip>:<port>. <port> must be available --> </InputSettings>
<Feeds per_scan_detect_limit="10000">...</Feeds>
<OutputSettings> ... <FinishedEventFormat>LookupFinished</FinishedEventFormat> </OutputSettings>
<ServiceSettings> ... <ScannersCount>9</ScannersCount> <!-- 1 tcp connection = 1 scanner --> </ServiceSettings> </Configuration> |
Ниже приведен отрывок из конфигурационного файла Log Scanner, который соответствует конфигурационному файлу Kaspersky CyberTrace Service, приведенному выше.
<Settings> ... <ThreadsCount>8</ThreadsCount> <Pattern>ip=%IP% md5=%MD5% sha1=%SHA1% sha256=%SHA256% url=%URL%</Pattern> <Connection>127.0.0.1:9999</Connection> </Settings> |
При использовании этих конфигурационных файлов Log Scanner отправляет запросы на IP-адрес 127.0.0.1 и порт 9999, а Kaspersky CyberTrace Service прослушивает порт 9999 для получения данных на проверку. Как Log Scanner, так и Kaspersky CyberTrace Service используют до восьми потоков для передачи и обработки данных (Kaspersky CyberTrace Service использует один из потоков для механизма проверки работоспособности). Если в Kaspersky CyberTrace Service отправляются корректные URL, IP-адреса и хеши, они будут проходить парсинг с использованием регулярных выражений, указанных в конфигурационном файле Kaspersky CyberTrace Service.
Работа с результатами проверки
После того, как данные будут проверены Kaspersky CyberTrace Service, можно отправить результаты проверки в целевое программное обеспечение или сохранить их в файл:
OutputSettings
> ConnectionString
в конфигурационном файле Kaspersky CyberTrace Service.-r
при запуске Log Scanner из командной строки следующим образом:./log_scanner -r -p file_to_check
(в Linux)
log_scanner.exe -r -p file_to_check
(в Windows)
Значение атрибута enable
элемента OutputSettings > FinishedEventFormat
в конфигурационном файле Kaspersky CyberTrace Service не должно быть false
.
Пример отчета
Содержание отчета зависит от значения элемента OutputSettings
> EventFormat
в конфигурационном файле Kaspersky CyberTrace Service.
Ниже приведен пример отчета, отправляемого из Kaspersky CyberTrace Service в Log Scanner.
- KL_Data_Feed_Service_v1 LEEF:1.0|Kaspersky Lab|SIEM Service|1.0|KL_Malicious_URL|url=malicious_domain_21.com/folder/load.php?| IP=91.202.63.117, 196.254.10.200, 194.190.253.19, 185.56.137.11, 178.62.5.157, 173.194.222.211, 159.253.145.183, 87.250.250.135, 82.145.209.252, 74.125.205.211 first_seen=11.01.2016 07:17 geo=ru, ua, kz, by, de, ro, az, cz, uz, md id=9491494 last_seen=14.01.2016 13:36 mask=malicious_domain_21.com/folder/load.php?* popularity=5 type=21 Total number of objects sent to KTFS: 1 Total number of detects received from KTFS: 1 Total scan time: 00:00:01.032 |