Настройки сервиса

Управлять общими параметрами сервиса можно в веб-интерфейсе Kaspersky CyberTrace на странице Настройка → Сервис. Для работы с этой страницей необходимо перейти в режим Управление системой. Этот режим доступен только пользователям с ролью «Администратор».

На странице Сервис отображается статус Kaspersky CyberTrace Service. На этой странице можно изменять настройки, которые хранятся в конфигурационных файлах kl_feed_util.conf и kl_feed_service_log.conf. Также здесь можно выполнить ряд действий.

Статус Kaspersky CyberTrace Service

Один из следующих статусов Kaspersky CyberTrace Service status:

• Сервис Kaspersky CyberTrace работает
• Сервис Kaspersky CyberTrace запускается
• Сервис Kaspersky CyberTrace прекратил работу

  Этот статус указывает, что индикаторы загружаются в базу данных и индексируются. Пока все индикаторы не будут обработаны, вкладка Indicators может содержать частично устаревшую информацию, а поиск данных, которые находятся в процессе обновления, может выполняться некорректно. Однако процесс сопоставления входящих событий выполняется на основе фактических данных, и на странице веб-интерфейса Kaspersky CyberTrace с подробной информацией об индикаторах отображаются актуальные данные.

Connection settings

На вкладке Соединение страницы Сервис задайте следующие параметры:

1. В разделе Пороговый EPS системы настройте пороговый EPS системы (общее число событий в секунду — events per second):
   1. Включите переключатель.
   2. В поле Пороговый EPS введите требуемое значение порогового EPS.

   Если пороговый EPS системы определяется лицензией, в веб-интерфейсе Kaspersky CyberTrace его изменить невозможно.

   Если не задать пороговый EPS системы, можно столкнуться с непредвиденной деградацией производительности системы.

2. В разделе Служебные оповещения настройте отправку служебных оповещений, посредством которых другое ПО (например, SIEM-система) снабжается информацией о состоянии Kaspersky CyberTrace Service. Для этого выполните действия в следующем порядке:
   1. Включите переключатель.
   2. В полях IP-адрес и Порт укажите параметры сервера, на который требуется отправлять служебные оповещения.

      По умолчанию указаны IP-адрес 127.0.0.1 и порт 9999.

      Поддерживается отправка служебных оповещений на адреса IPv6.

   Эти настройки хранятся в элементе OutputSettings > AlertConnectionString файла kl_feed_service.conf.

3. В разделе Веб-интерфейс укажите IP-адрес или имя хоста, используемые для подключения к веб-интерфейсу Kaspersky CyberTrace. Это IP-адрес или имя хоста того сервера, на котором установлен Kaspersky CyberTrace и который используется, например, для скачивания отчетов об экспорте индикаторов.

   Поддерживается использование адресов IPv6 в качестве адреса веб-интерфейса.

   Эта настройка хранится в элементе ResourcesIP файла kl_feed_service.conf.

   По умолчанию указан адрес 127.0.0.1.

Настройки прокси-сервера

На вкладке Параметры прокси-сервера страницы Сервис задайте следующие параметры:

1. Включите переключатель Работать через прокси-сервер.
2. В поле IP-адрес или имя хоста укажите IP-адрес или имя хоста прокси-сервера.

   Эта настройка хранится в элементе Host файла kl_feed_util.conf.

3. В поле Порт укажите порт прокси-сервера.

   Эта настройка хранится в элементе Port файла kl_feed_util.conf.

4. Если для доступа к прокси-серверу требуются учетные данные, выполните следующие действия:
   1. Включите переключатель Использовать учетные данные прокси-сервера.
   2. В поле Имя пользователя укажите имя пользователя для доступа к прокси-серверу.

      Эта настройка хранится в зашифрованном виде в элементе User файла kl_feed_util.conf.

   3. В поле Пароль укажите пароль для доступа к прокси-серверу.

      Эта настройка хранится в зашифрованном виде в элементе Password файла kl_feed_util.conf.

   Для прокси-сервера можно использовать адрес IPv6.

Доступные действия

На странице Сервис можно выполнять следующие действия:

• Перезапустить сервис
• Экспорт конфигурационных файлов

  Можно экспортировать конфигурационные файлы kl_feed_service.conf и kl_feed_util.conf в выбранный каталог.

• Выполнить самостоятельную диагностику

  Проверяется правильность работы используемых потоков данных «Лаборатории Касперского» об угрозах.

  Самостоятельную диагностику следует запускать перед редактированием каких-либо правил фильтрации для потока данных на странице Настройка → Потоки индикаторов.

  Если проверка работоспособности (самостоятельная диагностика) дает неверные результаты (т. е. если поток данных об угрозах, который должен давать обнаружения киберугроз, не дает их), рассмотрите возможные решения проблемы в разделе Устранение общих неполадок. Если проблема не устранена, обратитесь по адресу intelligence@kaspersky.com.

• Сбросить статистику

  Сброс всей статистики на информационной панели.

  Рекомендуется выполнить эту операцию после успешной интеграции Kaspersky CyberTrace с SIEM-системой. Это означает, что на информационной панели не будут отображаться оповещения об обнаружении индикаторов компрометации, сгенерированные во время проверки работоспособности, а будут отображаться только реальные оповещения об обнаружении индикаторов компрометации, если таковые имеются.

В начало