Рекомендации по использованию Log Scanner
11 апреля 2024
ID 171647
Рекомендуется использовать Kaspersky CyberTrace Service вместе с Log Scanner в следующих случаях:
- Необходимо проверить несколько файлов журналов и сохранить результат проверки в файл.
Это может быть удобно при расследовании инцидентов информационной безопасности, когда используемое решение SIEM недоступно или решения SIEM не используются.
- Необходимо проверить несколько файлов журналов и отправить результаты проверки в используемое решение SIEM.
Настройка Kaspersky CyberTrace Service и Log Scanner
Kaspersky CyberTrace Service и Log Scanner должны взаимодействовать правильным образом, поэтому необходимо обеспечить взаимное соответствие их параметров:
- Порт, заданный в элементе
Settings > Connection
конфигурационного файла Log Scanner, должен соответствовать порту, указанному в элементеInputSettings > ConnectionString
конфигурационного файла Kaspersky CyberTrace Service. - Количество потоков, указанное в элементе
Settings > ThreadsCount
конфигурационного файла Log Scanner, должно быть меньше, чем количество, указанное в элементеServiceSettings > ScannersCount
конфигурационного файла Kaspersky CyberTrace Service. - Данные, отправляемые Log Scanner в Kaspersky CyberTrace Service — либо строки файлов журналов, либо строки, созданные на основе элемента конфигурационного файла Log Scanner
Settings > Pattern
— должны поддаваться парсингу с помощью регулярных выражений, указанных в элементеConfiguration > InputSettings > RegExps
конфигурационного файла Kaspersky CyberTrace Service.
Примеры конфигурационных файлов
Ниже приведен отрывок из примера конфигурационного файла Kaspersky CyberTrace Service.
<Configuration> <InputSettings> <RegExps> <Source id="default"> <!--You can use them in the OutputSettings->EventFormat string with the pattern %REGEXPNAME%--> ... <RE_MD5>md5=(.*?)(?:$|\s)</RE_MD5> <RE_SHA1>sha1=(.*?)(?:$|\s)</RE_SHA1> <RE_SHA256>sha256=(.*?)(?:$|\s)</RE_SHA256> <RE_URL>url=(.*?)(?:$|\s)</RE_URL> <RE_IP>ip=(.*?)(?:$|\s)</RE_IP> </Source> </RegExps> <ConnectionString>127.0.0.1:9999</ConnectionString> <!-- <ip>:<port>. Threat Feed Service listens for <ip>:<port>. <port> must be available --> </InputSettings>
<Feeds per_scan_detect_limit="10000">...</Feeds>
<OutputSettings> ... <FinishedEventFormat>LookupFinished</FinishedEventFormat> </OutputSettings>
<ServiceSettings> ... <ScannersCount>9</ScannersCount> <!-- 1 tcp connection = 1 scanner --> </ServiceSettings> </Configuration> |
Ниже приведен отрывок из конфигурационного файла Log Scanner, который соответствует конфигурационному файлу Kaspersky CyberTrace Service, приведенному выше.
<Settings> ... <ThreadsCount>8</ThreadsCount> <Pattern>ip=%IP% md5=%MD5% sha1=%SHA1% sha256=%SHA256% url=%URL%</Pattern> <Connection>127.0.0.1:9999</Connection> </Settings> |
При использовании этих конфигурационных файлов Log Scanner отправляет запросы на IP-адрес 127.0.0.1 и порт 9999, а Kaspersky CyberTrace Service прослушивает порт 9999 для получения данных на проверку. Как Log Scanner, так и Kaspersky CyberTrace Service используют до восьми потоков для передачи и обработки данных (Kaspersky CyberTrace Service использует один из потоков для механизма проверки работоспособности). Если в Kaspersky CyberTrace Service отправляются корректные URL, IP-адреса и хеши, они будут проходить парсинг с использованием регулярных выражений, указанных в конфигурационном файле Kaspersky CyberTrace Service.
Работа с результатами проверки
После того, как данные будут проверены Kaspersky CyberTrace Service, можно отправить результаты проверки в целевое программное обеспечение или сохранить их в файл:
- Для отправки результатов проверки в целевое программное обеспечение задайте правильное значение элемента
OutputSettings
>ConnectionString
в конфигурационном файле Kaspersky CyberTrace Service. - Чтобы сохранить результаты проверки в файл, передайте параметр
-r
при запуске Log Scanner из командной строки следующим образом:./log_scanner -r -p file_to_check
(в Linux)log_scanner.exe -r -p file_to_check
(в Windows)Значение атрибута
enable
элементаOutputSettings > FinishedEventFormat
в конфигурационном файле Kaspersky CyberTrace Service не должно бытьfalse
.
Пример отчета
Содержание отчета зависит от значения элемента OutputSettings
> EventFormat
в конфигурационном файле Kaspersky CyberTrace Service.
Ниже приведен пример отчета, отправляемого из Kaspersky CyberTrace Service в Log Scanner.
- KL_Data_Feed_Service_v1 LEEF:1.0|Kaspersky Lab|SIEM Service|1.0|KL_Malicious_URL|url=malicious_domain_21.com/folder/load.php?| IP=91.202.63.117, 196.254.10.200, 194.190.253.19, 185.56.137.11, 178.62.5.157, 173.194.222.211, 159.253.145.183, 87.250.250.135, 82.145.209.252, 74.125.205.211 first_seen=11.01.2016 07:17 geo=ru, ua, kz, by, de, ro, az, cz, uz, md id=9491494 last_seen=14.01.2016 13:36 mask=malicious_domain_21.com/folder/load.php?* popularity=5 type=21 Total number of objects sent to KTFS: 1 Total number of detects received from KTFS: 1 Total scan time: 00:00:01.032 |