В этом разделе описывается порядок настройки экземпляров Kaspersky CyberTrace для использования в режиме высокой доступности.
Для использования Kaspersky CyberTrace в режиме высокой доступности необходимо настроить все экземпляры Kaspersky CyberTrace следующим образом:
Поля контекста, добавленные вручную, а также индикаторы в источниках данных об угрозах FalsePositive и InternalTI, добавленные с помощью веб-интерфейса Kaspersky CyberTrace или REST API, должны быть идентичными во всех экземплярах Kaspersky CyberTrace.
Регулярное выражение для сопоставления входящих событий от Balancer
Тип индикатора |
Имя правила |
Регулярное выражение |
---|---|---|
|
|
|
Для регулярного выражения можно использовать любое разрешенное имя, однако важно убедиться, что то же имя регулярного выражения используется в шагах настройки ниже.
Можно указать регулярное выражение в источнике событий по умолчанию или создать новое.
Каждое событие должно начинаться со значения, которое было извлечено из входящего события регулярным выражением REQ
. Например: %REQ% category=%Category% %RecordContext%
.
systemctl stop cybertrace.service
(в Linux)sc stop cybertrace
(в Windows)OutputSettings > FinishedEventFormat
конфигурационного файлаKaspersky CyberTrace Service задайте следующий формат информационных событий:<FinishedEventFormat enabled="true">%REQ% LookupFinished</FinishedEventFormat>
Эти события предназначены только для внутреннего использования. Они не отправляются в SIEM.
systemctl start cybertrace.service
(в Linux)sc start cybertrace
(в Windows)Если требуется, можно также задать настройки соединения для отправки оповещений о событиях в Balancer в разделе Connection settings на вкладке Settings > Service. Используйте следующие параметры из файла kl_balancer.conf
:
Balancer
cybertrace_port
элемента Balancer
Оповещения о событиях можно отправлять непосредственно в SIEM.
Параметры отправки событий обнаруженных киберугроз в режиме высокой доступности не используются, поскольку Balancer получает результаты сопоставления событий в режиме ReplyBack mode.
В начало