Об однокомпонентной схеме интеграции
По умолчанию и Kaspersky CyberTrace Service, и Kaspersky CyberTrace App используют следующую схему интеграции. Это однокомпонентная схема интеграции.
О приложениях и сервисах
Однокомпонентная схема интеграции использует одно приложение и один сервис:
- Kaspersky CyberTrace Service
Этот сервис сопоставляет события Splunk с потоками данных Kaspersky Threat Data Feeds.
Kaspersky CyberTrace Service отправляет полученные события в Splunk. Splunk хранит события из Kaspersky CyberTrace Service в индексе
main. - Kaspersky CyberTrace App
Это приложение содержит информационные панели приложения Kaspersky CyberTrace App, шаблоны информационных сообщений и скрипт поиска. Приложение также содержит правила парсинга событий Kaspersky CyberTrace Service и правила пересылки событий из Splunk в Kaspersky CyberTrace Service.
Однокомпонентная схема интеграции
В однокомпонентной схеме интеграции приложения Splunk и Kaspersky CyberTrace Service по умолчанию работают на одном сервере (IP-адрес 127.0.0.1). Kaspersky CyberTrace App принимает входные данные на порт 3000 и перенаправляет их в Kaspersky CyberTrace Service на порте 9999. После этого Kaspersky CyberTrace Service возвращает результаты сопоставления в Kaspersky CyberTrace App на порт 9998.
Чтобы установить Kaspersky CyberTrace Service на отдельный сервер, при установке Kaspersky CyberTrace необходимо указать адреса и порты, используемые Kaspersky CyberTrace Service и приложением Kaspersky CyberTrace App.
Однокомпонентная схема интеграции
Формат событий
По умолчанию Kaspersky CyberTrace App и Kaspersky CyberTrace Service получают события в определенном формате:
- Kaspersky CyberTrace Service использует для парсинга событий регулярные выражения из своего конфигурационного файла. Эти регулярные выражения можно просмотреть и настроить на вкладке Settings > Matching в веб-интерфейсе Kaspersky CyberTrace. Эти регулярные выражения предназначены для парсинга поступающих данных в определенном формате. Например, регулярное выражение по умолчанию для URL сопоставляет строки, содержащие код протокола (например,
http://илиhttps://). Если URL в событиях, передаваемых устройствами, не содержат указания на протокол, необходимо соответствующим образом изменить регулярное выражение. - Сценарий поиска, поставляемый с Kaspersky CyberTrace App, отправляет события в Kaspersky CyberTrace Service в формате, с которым могут работать регулярные выражения, используемые в Kaspersky CyberTrace Service. В случае изменения регулярных выражений также необходимо отредактировать скрипт поиска, чтобы в нем использовался формат, соответствующий новым регулярным выражениям.