О Kaspersky CyberTrace

Добро пожаловать в документацию Kaspersky CyberTrace.

Что такое Kaspersky CyberTrace

Kaspersky CyberTrace — это платформа анализа киберугроз (Threat Intelligence Platform), обеспечивающая агрегацию индикаторов компрометации из различных источников, в том числе из потоков данных об угрозах Лаборатории Касперского, и интеграцию с решениями класса SIEM (Security Information and Event Management) для автоматического поиска индикаторов компрометации (IoC) в журналах событий безопасности и формирования уведомлений об инцидентах в рамках существующих процессов центра информационной безопасности организации.

Kaspersky CyberTrace использует регулярно обновляемые потоки данных об угрозах для актуализации используемой базы индикаторов компрометации с целью обнаружения угроз в журналах событий безопасности и информирования специалистов безопасности о рисках, связанных с той или иной угрозой.

Kaspersky CyberTrace поддерживает интеграцию с источниками данных об угрозах (потоки данных об угрозах от Kaspersky и других поставщиков, OSINT или пользовательские источники), решениями SIEM и источниками журналов событий безопасности. В случае обнаружения IoC в журналах событий безопасности Kaspersky CyberTrace автоматически отправляет в SIEM сообщение об обнаруженном индикаторе, вместе с дополнительной контекстной информацией. Платформа Kaspersky CyberTrace предоставляет аналитикам набор инструментов для классификации информационных сообщений и приоритезации реагирования на них посредством категоризации и дедупликации.

Kaspersky CyberTrace внутри корпоративной сети

Функциональные возможности Kaspersky CyberTrace:

• Автоматическое высокопроизводительное сопоставление входящих журналов и событий безопасности с потоками данных об угрозах Kaspersky Threat Data Feeds, потоками данных OSINT feed или любыми другими пользовательскими потоками данных об угрозах в наиболее популярных форматах (JSON, STIX™, XML, CSV, MISP). Демонстрационные потоки данных об угрозах от Kaspersky и OSINT доступны по умолчанию.
• Внутренний процесс парсинга и сопоставления входящих событий с IoC на стороне Kaspersky CyberTrace значительно снижает нагрузку на SIEM-решение. Kaspersky CyberTrace выполняет парсинг входящих журналов и событий, сопоставляет полученные данные с потоками данных об угрозах и генерирует информационные сообщения при обнаружении киберугроз. Таким образом, на стороне SIEM-решения осуществляется обработка существенно меньшего объема данных.
• Генерируется статистика использования потоков данных об угрозах, что позволяет измерять их эффективность.
• Исследование угроз с помощью поиска конкретных индикаторов (хешей, IP-адресов, доменов, URL) по требованию, а также возможность ручной загрузки журнала событий безопасности с целью генерации отчета об обнаруженных IoC.
• Универсальный подход к интеграции возможностей сопоставления угроз с решениями SIEM и другими средствами контроля безопасности. Коннекторы SIEM для широкого спектра SIEM-решений позволяют визуализировать данные об обнаруженных киберугрозах и эффективно управлять ими.
• Данные об IoC вместе с контекстной информацией хранятся в оперативной памяти для быстрого доступа и фильтрации.
• Веб-интерфейс Kaspersky CyberTrace обеспечивает визуализацию данных, возможности поиска IoC по требованию и доступ к настройке Kaspersky CyberTrace. Веб-интерфейс Kaspersky CyberTrace также поддерживает управление потоками данных об угрозах, правилами парсинга журналов, пользовательскими данными о киберугрозах и списками ложных срабатываний, а также источниками событий.
• Интерфейс командной строки для платформ Windows и Linux®.
• Расширенные возможности фильтрации потоков данных об угрозах и событий журнала. Потоки данных об угрозах можно конвертировать и фильтровать на основе широкого набора критериев, таких как время, популярность, географическое положение и тип угрозы. События журнала можно фильтровать на основе пользовательских условий.
• Поддержка частичного развертывания в демилитаризованной зоне (DMZ). Сервер, на котором выполняется сопоставление данных о событиях с потоками данных об угрозах, может быть изолирован от сети Интернет и получать обновления потоков данных об угрозах от компонента, установленного в DMZ.
• В автономном режиме, когда Kaspersky CyberTrace не интегрируется с SIEM-решениями, Kaspersky CyberTrace получает журналы из различных источников, таких как сетевые устройства, обрабатывает эти журналы в соответствии с заданными правилами нормализации и выполняет парсинг журналов в соответствии с заданными регулярными выражениями.
• Результаты поиска, успешно сопоставленные с потоками данных об угрозах, можно экспортировать в формате CSV для интеграции с другими системами (сетевыми экранами, системами обнаружения и предотвращения вторжений (IDS/IPS), пользовательскими инструментами.
• Деобфускация для обнаружения угроз, использующих техники сокрытия вредоносных действий в журналах безопасности.

Основными компонентами Kaspersky CyberTrace являются Kaspersky CyberTrace Service, Feed Utility, Log Scanner и веб-интерфейс Kaspersky CyberTrace.

Основные компоненты Kaspersky CyberTrace

Подробнее о том, как работает Kaspersky CyberTrace , смотрите в видео ниже:

Содержание документации

Эта документация разделена на несколько глав:

• Руководства по установке и интеграции

  В этой главе представлены руководства по установке Kaspersky CyberTrace, интеграции с SIEM-решениями и источниками событий, а также по настройке Kaspersky CyberTrace после завершения интеграции.

  Отправной точкой для процесса установки и интеграции служит раздел Начало работы.

• Руководства пользователя

  В этой главе представлена информация о веб-интерфейсе Kaspersky CyberTrace, а также о приложениях и информационных панелях, обеспечивающих доступ к Kaspersky CyberTrace из SIEM-решения.

• Руководства администратора

  В этой главе представлена информация об управлении Kaspersky CyberTrace, а также рассматриваются расширенные возможности Kaspersky. В этой главе также приводится описание компонентов Kaspersky CyberTrace и рабочих процессов для этих компонентов.

• Устранение неполадок

  В этом разделе представлены решения типичных проблем, которые могут возникать при использовании Kaspersky CyberTrace.

• Рекомендации по снижению рисков безопасности

  В этом разделе приведены рекомендации по снижению потенциальных рисков безопасности при работе с Kaspersky CyberTrace.

В этом разделе Что нового О потоках данных об угрозах и сертификатах

В начало