Рекомендации по использованию Log Scanner

Рекомендуется использовать Kaspersky CyberTrace Service вместе с Log Scanner в следующих случаях:

• Необходимо проверить несколько файлов журналов и сохранить результат проверки в файл.

  Это может быть удобно при расследовании инцидентов информационной безопасности, когда используемое решение SIEM недоступно или решения SIEM не используются.

• Необходимо проверить несколько файлов журналов и отправить результаты проверки в используемое решение SIEM.

Настройка Kaspersky CyberTrace Service и Log Scanner

Kaspersky CyberTrace Service и Log Scanner должны взаимодействовать правильным образом, поэтому необходимо обеспечить взаимное соответствие их параметров:

• Порт, заданный в элементе Settings > Connection конфигурационного файла Log Scanner, должен соответствовать порту, указанному в элементе InputSettings > ConnectionString конфигурационного файла Kaspersky CyberTrace Service.
• Количество потоков, указанное в элементе Settings > ThreadsCount конфигурационного файла Log Scanner, должно быть меньше, чем количество, указанное в элементе ServiceSettings > ScannersCount конфигурационного файла Kaspersky CyberTrace Service.
• Данные, отправляемые Log Scanner в Kaspersky CyberTrace Service — либо строки файлов журналов, либо строки, созданные на основе элемента конфигурационного файла Log Scanner Settings > Pattern — должны поддаваться парсингу с помощью регулярных выражений, указанных в элементе Configuration > InputSettings > RegExps конфигурационного файла Kaspersky CyberTrace Service.

Примеры конфигурационных файлов

Ниже приведен отрывок из примера конфигурационного файла Kaspersky CyberTrace Service.

<Configuration> <InputSettings> <RegExps> <Source id="default"> <!--You can use them in the OutputSettings->EventFormat string with the pattern %REGEXPNAME%--> ... <RE_MD5>md5=(.*?)(?:$|\s)</RE_MD5> <RE_SHA1>sha1=(.*?)(?:$|\s)</RE_SHA1> <RE_SHA256>sha256=(.*?)(?:$|\s)</RE_SHA256> <RE_URL>url=(.*?)(?:$|\s)</RE_URL> <RE_IP>ip=(.*?)(?:$|\s)</RE_IP> </Source> </RegExps> <ConnectionString>127.0.0.1:9999</ConnectionString> <!-- <ip>:<port>. Threat Feed Service listens for <ip>:<port>. <port> must be available --> </InputSettings>   <Feeds per_scan_detect_limit="10000">...</Feeds>   <OutputSettings> ... <FinishedEventFormat>LookupFinished</FinishedEventFormat> </OutputSettings>   <ServiceSettings> ... <ScannersCount>9</ScannersCount> <!-- 1 tcp connection = 1 scanner --> </ServiceSettings> </Configuration>

Ниже приведен отрывок из конфигурационного файла Log Scanner, который соответствует конфигурационному файлу Kaspersky CyberTrace Service, приведенному выше.

<Settings> ... <ThreadsCount>8</ThreadsCount> <Pattern>ip=%IP% md5=%MD5% sha1=%SHA1% sha256=%SHA256% url=%URL%</Pattern> <Connection>127.0.0.1:9999</Connection> </Settings>

При использовании этих конфигурационных файлов Log Scanner отправляет запросы на IP-адрес 127.0.0.1 и порт 9999, а Kaspersky CyberTrace Service прослушивает порт 9999 для получения данных на проверку. Как Log Scanner, так и Kaspersky CyberTrace Service используют до восьми потоков для передачи и обработки данных (Kaspersky CyberTrace Service использует один из потоков для механизма проверки работоспособности). Если в Kaspersky CyberTrace Service отправляются корректные URL, IP-адреса и хеши, они будут проходить парсинг с использованием регулярных выражений, указанных в конфигурационном файле Kaspersky CyberTrace Service.

Работа с результатами проверки

После того, как данные будут проверены Kaspersky CyberTrace Service, можно отправить результаты проверки в целевое программное обеспечение или сохранить их в файл:

• Для отправки результатов проверки в целевое программное обеспечение задайте правильное значение элемента OutputSettings > ConnectionString в конфигурационном файле Kaspersky CyberTrace Service.
• Чтобы сохранить результаты проверки в файл, передайте параметр -r при запуске Log Scanner из командной строки следующим образом:

  ./log_scanner -r -p file_to_check (в Linux)

  log_scanner.exe -r -p file_to_check (в Windows)

  Значение атрибута enable элемента OutputSettings > FinishedEventFormat в конфигурационном файле Kaspersky CyberTrace Service не должно быть false.

Пример отчета

Содержание отчета зависит от значения элемента OutputSettings > EventFormat в конфигурационном файле Kaspersky CyberTrace Service.

Ниже приведен пример отчета, отправляемого из Kaspersky CyberTrace Service в Log Scanner.

- KL_Data_Feed_Service_v1 LEEF:1.0|Kaspersky Lab|SIEM Service|1.0|KL_Malicious_URL|url=malicious_domain_21.com/folder/load.php?| IP=91.202.63.117, 196.254.10.200, 194.190.253.19, 185.56.137.11, 178.62.5.157, 173.194.222.211, 159.253.145.183, 87.250.250.135, 82.145.209.252, 74.125.205.211 first_seen=11.01.2016 07:17 geo=ru, ua, kz, by, de, ro, az, cz, uz, md id=9491494 last_seen=14.01.2016 13:36 mask=malicious_domain_21.com/folder/load.php?* popularity=5 type=21 Total number of objects sent to KTFS: 1 Total number of detects received from KTFS: 1 Total scan time: 00:00:01.032

В начало