В этом разделе описывается стандартная схема интеграции RSA NetWitness и Kaspersky CyberTrace.
О компонентах стандартной схемы интеграции
В стандартной схеме интеграции RSA NetWitness используются следующие компоненты:
Этот сервис сопоставляет события RSA NetWitness с потоками данных об угрозах Kaspersky Threat Data Feeds.
SIEM-решение, используемое в этой интеграции.
Это источники событий для RSA NetWitness, такие как межсетевые экраны, прокси-серверы, системы обнаружения вторжений и другие сетевые устройства.
Средства контроля безопасности могут отправлять события в RSA NetWitness любым способом, поддерживаемым RSA NetWitness.
Стандартная схема интеграции
В стандартной схеме интеграции Kaspersky CyberTrace Service по умолчанию настраивается на прослушивание адреса 127.0.0.1:9999
для получения входящих событий от RSA NetWitness.
Kaspersky CyberTrace Service отправляет события обнаруженных киберугроз на IP-адрес 127.0.0.1
и порт 514
интерфейса, определенного в конфигурации RSA NetWitness. Адрес этого интерфейса указывается при установке Kaspersky CyberTrace. Средства контроля безопасности также отправляют события на порт 514 интерфейса, определенного в конфигурации RSA NetWitness.
Стандартная схема интеграции для RSA NetWitness
В начало