Настройка тенантов

Kaspersky CyberTrace поддерживает мультитенантную архитектуру, позволяющую управлять тенантами. Тенант — это специфичный для клиента набор параметров конфигурации. Тенанты особенно подходят провайдерам услуг безопасности (MSSP), позволяя дифференцированно работать с клиентами в рамках единого экземпляра Kaspersky CyberTrace.

Из-за ограничений, налагаемых уровнем лицензирования, эта функция может быть отключена.

Kaspersky CyberTrace использует тенант «General», который позволяет задавать общие настройки. Для создания или изменения тенантов в веб-интерфейсе Kaspersky CyberTrace используется страница Настройка → Тенанты. Для работы с этой страницей необходимо перейти в режим Управление системой. Этот режим доступен только пользователям с ролью «Администратор».

На вкладке Тенанты отображается информация об используемых в Kaspersky CyberTrace тенантах; на этой вкладке также можно выполнить следующие действия:

• Добавление нового тенанта
• Переход к настройке тенанта
• Удаление тенанта
• Сброс статистики по тенанту

При настройке тенанта необходимо также выбрать SIEM-систему, с которой необходимо интегрировать данный тенант. Kaspersky CyberTrace использует для каждой SIEM-системы ряд предустановленных настроек, таких как настройки парсинга событий и настройки формата событий (для сообщений об обнаруженных киберугрозах и сервисных оповещениях).

Поддерживаются следующие SIEM-системы:

• Kaspersky Unified Monitoring and Analysis Platform
• Splunk
• ArcSight
• QRadar
• RSA NetWitness
• LogRhythm

Добавление тенанта

Чтобы добавить тенант, выполните следующие действия:

1. Нажмите на кнопку Добавить тенант.

   Откроется окно Добавить тенант.

2. Введите имя нового тенанта в поле Имя тенанта.

   Длина имени тенанта должна составлять от 1 до 64 символов. Допускаются латинские буквы, цифры, специальные символы (" ', . @ # $ % & * № / \) и пробелы.

   Изменить имя тенанта «General» невозможно.

3. Введите описание этого тенанта в поле Описание.

   Длина описания тенанта должна составлять от 0 до 2048 символов. Допускаются латинские буквы, цифры, специальные символы (" ', . @ # $ % & * № / \), пробелы и переносы строки.

4. Выберите SIEM-систему, с которой требуется интегрировать тенант.

   Можно выбрать SIEM-систему, поддерживаемую Kaspersky CyberTrace, или пользовательскую (не поддерживаемую SIEM-систему).

   Эта SIEM-система будет использоваться в рамках данного тенанта для отправки событий в Kaspersky CyberTrace.

   В зависимости от выбранной SIEM-системы Kaspersky CyberTrace определяет наборы регулярных выражений, форматы сообщений об обнаруженных киберугрозах и форматы служебных оповещений, используемых при интеграции с этой SIEM-системой.

5. В разделе Пороговый EPS тенанта настройте пороговый EPS тенанта (число событий в секунду — events per second):
   1. Включите переключатель.
   2. В поле Пороговый EPS введите требуемое значение порогового EPS.

   Если значение EPS приближается к пороговому значению, в веб-интерфейсе отображается предупреждение и генерируется оповещение с предупреждением. При превышении лимита в рамках тенанта сверхлимитный трафик для этого тенанта отбрасывается, отображается предупреждение и генерируется оповещение с предупреждением. Если пороговый EPS тенанта не задан, это может повлиять на другие тенанты (если таковые имеются).

6. В разделе Входящие события задайте параметры сокета данного тенанта, который Kaspersky CyberTrace должен прослушивать в ожидании входящих событий:
   1. Выберите тип соединения, который требуется использовать: IP-адрес и порт или Сокет UNIX.
   2. В зависимости от типа подключения выполните одно из следующих действий:
      • Укажите IP-адрес и порт в полях IP-адрес и Порт.
      • В поле Сокет UNIX укажите сокет UNIX.
7. В разделе Оповещения об обнаружении индикаторов компрометации укажите IP-адрес и порт для данного тенанта, которые будут использоваться в Kaspersky CyberTrace для отправки оповещений об обнаружении индикаторов компрометации.
8. Нажмите на кнопку Сохранить.

Созданный тенант добавляется в список тенантов.

Изменение тенанта

После создания тенанта можно изменять его параметры, в том числе те параметры, которые не были заданы при создании.

Чтобы изменить тенант, выполните следующие действия:

Рядом с тенантом, который требуется изменить, нажмите К настройке, затем выберите соответствующий пункт меню:

• Общие

  На открывшейся странице Настройка → Общие в режиме Управление данными можно настраивать общие параметры тенанта.

• Потоки индикаторов

  На открывшейся странице Настройка → Потоки индикаторов в режиме Управление данными можно изменить список потоков данных, к которым имеет доступ тенант.

• Источники событий

  На открывшейся странице Настройка → Источники событий в режиме Управление данными можно изменить источники события, к которым имеет доступ тенант.

• Служебные оповещения

  На открывшейся странице Настройка → Служебные оповещения в режиме Управление данными можно изменить настройки служебных оповещений, снабжающих другое ПО (например, SIEM-систему) информацией о состоянии тенанта.

• Обнаружения

  На открывшейся странице Настройка → Обнаружения в режиме Управление данными можно изменить настройки хранения оповещений об обнаружениях индикаторов компрометации в целях дальнейшего анализа и расследования.

Удаление тенанта

Удалить тенант «General» невозможно.

Чтобы удалить тенант, выполните следующие действия:

1. В списке тенантов нажмите на кнопку (Удалить) рядом с тенантом, который требуется удалить.
2. В открывшемся окне подтверждения нажмите кнопку Удалить.

Удаленный тенант убирается из списка тенантов.

Сброс статистики

Это действие убирает с информационной панели всю статистику обнаружений киберугроз, связанную с данным тенантом.

Рекомендуется выполнить эту операцию после успешной интеграции Kaspersky CyberTrace с SIEM-системой. Это означает, что на информационной панели не будут отображаться оповещения об обнаружении индикаторов компрометации, сгенерированные во время проверки работоспособности, а будут отображаться только реальные оповещения об обнаружении индикаторов компрометации, если таковые имеются.

Чтобы сбросить статистику тенанта, выполните следующие действия:

1. В списке тенантов нажмите на кнопку (Сбросить статистику) рядом с тенантом, статистику которого требуется сбросить.
2. В открывшемся окне подтверждения нажмите кнопку Сбросить.

Статистика тенанта будет сброшена.

В начало