О распределенной схеме интеграции
Kaspersky CyberTrace поддерживает распределенные среды Splunk. Схема интеграции для распределенных сред Splunk называется распределенной схемой интеграции.
О приложениях и сервисах, используемых в распределенной схеме интеграции
В распределенной схеме интеграции Kaspersky CyberTrace разделяется на два приложения и один сервис:
- Kaspersky CyberTrace Service
Этот сервис сопоставляет события Splunk с потоками данных Kaspersky Threat Data Feeds.
Kaspersky CyberTrace Service отправляет полученные события в единственный индексатор, который ведет индекс событий, полученных от Kaspersky CyberTrace.
Этот сервис может быть установлен на отдельном сервере.
- Kaspersky CyberTrace Search Head (или приложение Search Head)
Это приложение содержит информационные панели Kaspersky CyberTrace App, шаблоны информационных сообщений и скрипт поиска.
Это приложение предназначено для установки в экземпляре Splunk, выступающем в качестве search head и отправляющем поисковые запросы в индексатор, который ведет индекс событий, полученных от Kaspersky CyberTrace.
- Kaspersky CyberTrace App Forwarder (или Forwarder App)
Это приложение содержит правила пересылки событий из Splunk в Kaspersky CyberTrace Service. Оно также получает события из Kaspersky CyberTrace Service.
Это приложение предназначено для установки в экземплярах Splunk, которые должны пересылать события в Kaspersky CyberTrace Service.
Kaspersky CyberTrace App Forwarder разделяется на два приложения в зависимости от типа Splunk Forwarder, используемого в распределенной схеме интеграции:
- App for Heavy Forwarder.
- App for Universal Forwarder.
О вариантах схемы интеграции
Следующие варианты схемы распределенной схемы интеграции демонстрируют общий подход к интеграции Kaspersky CyberTrace с распределенной средой Splunk. В зависимости от того, как организована распределенная среда Splunk, может потребоваться изменить или комбинировать эти варианты.
Вариант с одним индексатором и несколькими форвардерами
Один индексатор, несколько форвардеров
В варианте с одним индексатором и несколькими форвардерами несколько Heavy Forwarder или Universal Forwarder получают и пересылают события непосредственно в Kaspersky CyberTrace Service. Они должны использовать Forwarder App (для соответствующего типа Forwarder). Один из Forwarder'ов получает результаты сопоставления от Kaspersky CyberTrace Service. Форвардер отправляет результаты сопоставления в индексатор, который сохраняет их в индексе main, используемом Kaspersky CyberTrace для Splunk Search Head App.
Вариант с несколькими индексаторами и несколькими форвардерами
В варианте с несколькими индексаторами и несколькими форвардерами несколько Heavy Forwarder или Universal Forwarder получают и пересылают события непосредственно в Kaspersky CyberTrace Service. Они должны использовать Forwarder App (для соответствующего типа Forwarder). Один из Forwarder'ов получает результаты сопоставления от Kaspersky CyberTrace Service. Форвардер отправляет совпадения в индексаторы, которые сохраняют их в индексе main, используемом Kaspersky CyberTrace App.
Порты и адреса по умолчанию
По умолчанию Forwarder App и Kaspersky CyberTrace Service настроены на использование определенных адресов и портов для пересылки событий и получения результатов сопоставления. Эти адреса и порты необходимо изменить в соответствии со структурой используемой распределенной среды Splunk.
Необходимо изменить адреса и порты по умолчанию, которые используются в Forwarder App и Kaspersky CyberTrace Service.
По умолчанию Forwarder App:
- Принимает события на порте
:3000. - Получает события от Kaspersky CyberTrace на порт
:9998. Эти события хранятся в индексеmain. - Пересылает события на
127.0.0.1:9999.
По умолчанию Kaspersky CyberTrace Service работает следующим образом:
- Получает события на
127.0.0.1:9999. - Отправляет собственные события на
127.0.0.1:9998.
Формат событий
По умолчанию Kaspersky CyberTrace App и Kaspersky CyberTrace Service настроены для получения событий в определенном формате:
- Kaspersky CyberTrace Service выполняет парсинг событий с помощью регулярных выражений, заданных в его конфигурационном файле (регулярные выражения также отображаются в веб-интерфейсе Kaspersky CyberTrace). Эти регулярные выражения предназначены для поступающих данных в определенном формате. Например, регулярное выражение по умолчанию для URL сопоставляет URL вместе с протоколом (например, HTTP, HTTPS). Если URL в событиях, генерируемых устройствами, не включают протокол, измените регулярное выражение соответствующим образом.
- Сценарий поиска, поставляемый с Kaspersky CyberTrace App (или Search Head App в случае распределенной схемы интеграции), отправляет события в Kaspersky CyberTrace Service в формате, соответствующем регулярным выражениям, которые использует Kaspersky CyberTrace Service.