В правиле обогащения вы можете указать, какими данными из CyberTrace вы хотите дополнить событие. В качестве типа источника данных рекомендуется выбрать cybertrace-http.
Создать коллектор для получения событий, которые вы хотите обогатить данными из CyberTrace.
Привязать правило обогащения к коллектору.
Сохранить и создать сервис:
Если вы привязали правило к новому коллектору, нажмите Сохранить и создать, в открывшемся окне скопируйте идентификатор коллектора и используйте скопированный идентификатор для установки коллектора на сервере через интерфейс командной строки.
Если вы привязали правило к уже существующему коллектору, нажмите Сохранить и перезапустить сервисы, чтобы применить параметры.
Настройка интеграции поиска по индикаторам CyberTrace завершена и события KUMA будут обогащаться данными из CyberTrace.
По умолчанию проверка соединения с CyberTrace в KUMA отсутствует.
Если вы хотите проверить интеграцию с CyberTrace и убедиться, что обогащение событий выполняется, вы можете повторить шаги из следующего примера или адаптировать пример с учетом своих потребностей. В примере показана проверка интеграции, в результате которой обогащение будет выполнено и событие будет содержать заданный тестовый URL.
Чтобы выполнить проверку:
Создайте тестовое правило обогащения с параметрами, перечисленными в таблице ниже.
Параметр
Значение
Название
Test CT enrichment
Тенант
Общий
Тип источника данных
cybertrace-http
URL
<URL сервера cybertrace, которому вы хотите отправлять запросы>:9999
Сопоставление
Поле KUMA: RequestURL
Индикатор CyberTrace: url
Отладка
Включено
Создайте тестовый коллектор со следующими параметрами:
На шаге 2 Транспорт укажите коннектор http.
На шаге 3 Парсинг событий укажите нормализатор и выберите метод парсинга json, задайте сопоставление полей RequestUrl – RequestUrl.
На шаге 6 Обогащение укажите правило обогащения Test CT enrichment.
На шаге 7 Маршрутизация укажите хранилище, куда следует отправлять события.
Нажмите Сохранить и создать сервис.
В окне появится готовая команда для установки коллектора.
Нажмите Копировать, чтобы скопировать команду в буфер обмена, и запустите команду через интерфейс командной сроки. Дождитесь выполнения команды, вернитесь в веб-интерфейс KUMA и нажмите Сохранить коллектор.
Тестовый коллектор создан, и тестовое правило обогащения привязано к коллектору.
Через интерфейс командной строки отправьте в коллектор запрос, который вызовет появление события и последующее обогащение значением тестового URL http://fakess123bn.nu. Например:
curl --request POST \ --url http://<идентификатор хоста, на котором установлен коллектор>:<порт коллектора>/input \ --header 'Content-Type: application/json' \ --data '{"RequestUrl":"http://fakess123bn.nu"}'
Перейдите в раздел KUMA События и выполните следующий запрос, чтобы ограничить выдачу событий и найти обогащенное событие:
SELECT * FROM `events` WHERE RequestUrl = 'http://fakess123bn.nu' ORDER BY Timestamp DESC LIMIT 250
Результат:
Обогащение выполнено успешно, в событии появилось поле RequestURL со значением http://fakess123bn.nu, а также TI-индикатор и категория индикатора c данными CyberTrace.
Если в результате проверки обогащение не выполнено, например TI-индикатор отсутствует, мы рекомендуем:
Проверить параметры коллектора и правила обогащения.
Выгрузить журналы коллектора с помощью следующей команды и просмотреть полученные журналы на наличие ошибок: