Общая настройка тенанта

Управлять общими параметрами определенного тенанта можно в веб-интерфейсе Kaspersky CyberTrace на странице Параметры → Общие. Для работы с этой страницей необходимо перейти в режим Управление данными.

Чтобы изменить общие параметры тенанта, выполните следующие действия:

1. Введите имя нового тенанта в поле Имя тенанта.

   Длина имени тенанта должна составлять от 1 до 64 символов. Допускаются латинские буквы, цифры, специальные символы (" ', . @ # $ % & * № / \) и пробелы.

   Изменить имя тенанта «General» невозможно.

2. Введите описание этого тенанта в поле Описание.

   Длина описания тенанта должна составлять от 0 до 2048 символов. Допускаются латинские буквы, цифры, специальные символы (" ', . @ # $ % & * № / \), пробелы и переносы строки.

3. В разделе Пороговый EPS тенанта настройте пороговый EPS тенанта (число событий в секунду — events per second):
   1. Включите переключатель.
   2. В поле Пороговый EPS введите требуемое значение порогового EPS.

   Если значение EPS приближается к пороговому значению, в веб-интерфейсе отображается предупреждение и генерируется оповещение с предупреждением. При превышении лимита в рамках тенанта сверхлимитный трафик для этого тенанта сбрасывается, отображается предупреждение и генерируется оповещение с предупреждением. Если пороговый EPS тенанта не задан, это может повлиять на другие тенанты (если таковые имеются).

4. В разделе Входящие события задайте параметры сокета данного тенанта, который Kaspersky CyberTrace должен прослушивать в ожидании входящих событий:
   1. Выберите тип соединения, который требуется использовать: IP-адрес и порт или Сокет UNIX.
   2. В зависимости от типа подключения выполните одно из следующих действий:
      • Укажите IP-адрес и порт в полях IP-адрес и Порт.
      • В поле Сокет UNIX укажите сокет UNIX.
5. В разделе Оповещения об обнаружении индикаторов компрометации укажите IP-адрес и порт для данного тенанта, которые будут использоваться в Kaspersky CyberTrace для отправки оповещений об обнаружении индикаторов компрометации.
6. В разделе Служебные оповещения настройте отправку служебных оповещений, посредством которых другое ПО (например, SIEM-система) снабжается информацией о состоянии тенанта:
   1. Включите переключатель.
   2. В полях IP-адрес и Порт укажите параметры сервера, на который требуется отправлять служебные оповещения.

      По умолчанию указаны IP-адрес 127.0.0.1 и порт 9999.

      Поддерживается отправка служебных оповещений на адреса IPv6.

7. Включите эту функцию в разделе Поиск через API, если требуется сохранять обнаружения киберугроз, связанные с индикаторами, и вести статистику по индикаторам, полученным через общедоступные API с помощью методов поиска.

   По умолчанию эта функция включена.

   Сбор статистики по данным, получаемым через общедоступные API с помощью методов поиска, требует дополнительных вычислительных ресурсов. Чтобы избежать снижения производительности, можно отредактировать раздел <Source id="api_single_lookup"> конфигурационного файла kl_feed_service.conf и изменить регулярные выражения на «(.*)». Это, однако, может привести к неправильному расчету статистики.

8. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Обновленные общие параметры тенанта сохраняются.

Сброс статистики

Это действие убирает с информационной панели всю статистику обнаружений киберугроз, связанную с тенантом. Эту операцию могут выполнять только пользователи с ролью «Администратор».

Рекомендуется выполнить эту операцию после успешной интеграции Kaspersky CyberTrace с SIEM-системой. Это означает, что на информационной панели не будут отображаться оповещения об обнаружении индикаторов компрометации, сгенерированные во время проверки работоспособности, а будут отображаться только реальные оповещения об обнаружении индикаторов компрометации, если таковые имеются.

Чтобы сбросить статистику тенанта, выполните следующие действия:

1. Нажмите на кнопку (Сбросить статистику) на странице Параметры → Общие.
2. В открывшемся окне подтверждения нажмите кнопку Сбросить.

Статистика тенанта будет сброшена.

В начало