Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с ArcSight ESM

Предварительные условия (ArcSight)

Установка ArcSight SmartConnector (Linux)

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Установка ArcSight SmartConnector (Linux)

11 апреля 2024

ID 167453

В этом разделе описывается порядок установки ArcSight SmartConnector.

Чтобы установить ArcSight SmartConnector, выполните следующие действия:

  1. Запустите приложение установки ArcSight SmartConnector.

    Это приложение является компонентом HP ArcSight и не входит в состав Kaspersky CyberTrace.

  2. Выберите каталог установки ArcSight SmartConnector (далее %ARCSIGHT_HOME%).
  3. Отключите в установщике создание ссылок.
  4. После распаковки содержимого бинарного файла выберите Add a Connector.

    Выбор Add a Connector в ArcSight.

    Добавление коннектора

    Если это окно не отображается, настройте ArcSight SmartConnector вручную. Для этого выполните следующую команду:

    %ARCSIGHT_HOME%/current/bin/runagentsetup.sh

  5. В качестве типа коннектора выберите Syslog Daemon.
  6. В форме Enter the parameter details укажите следующие данные:
    • Network Port — порт, на который Kaspersky CyberTrace Service будет отправлять события обнаруженных киберугроз.

      Это тот же порт, который указан на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace (по умолчанию 9998).

    • IP-адрес — IP-адрес, на который Kaspersky CyberTrace Service будет отправлять события обнаруженных киберугроз.

      Это тот же IP-адрес, который указан на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace (по умолчанию 127.0.0.1).

      Если Arcsight SmartConnector должен принимать события со всех сетевых интерфейсов хоста, на котором он работает, можно указать (ALL). (Обратите внимание, что указать (ALL) в конфигурационном файле Kaspersky CyberTrace Service невозможно).

    • Protocol — укажите Raw TCP.
    • Forwarder — укажите false.

    Окно Enter the parameter details в ArcSight.

    Параметры отправки событий обнаруженных киберугроз

    Нажмите на кнопку Next.

  7. В качестве типа назначения укажите ArcSight Manager (encrypted).

    Окно Enter the type of destination в ArcSight.

    Тип назначения

    Нажмите на кнопку Next.

  8. Задайте другие параметры назначения:
    • Manager Hostname — хост, на котором запущен ArcSight Manager.
    • Manager Port — порт, на котором доступен ArcSight Manager.

      По умолчанию это порт 8443.

    • User — имя пользователя ArcSight ESM, имеющего права на регистрацию коннектора.
    • Password — пароль пользователя ArcSight ESM.
    • AUP Master Destination — укажите false.
    • Filter Out All Events — укажите false.
    • Enable Demo CA — укажите false.

    Окно Enter the destination parameters в ArcSight.

    Параметры назначения

    Нажмите на кнопку Next.

  9. Укажите сведения о коннекторе: имя (можно указать произвольное значение), местоположение (можно указать произвольное значение), местоположение устройства, которое будет отправлять события в коннектор (можно указать произвольное значение, может быть пустым) и комментарий о коннекторе (можно указать произвольное значение, может быть пустым).

    Окно Enter the connector details в ArcSight.

    Подробные данные коннектора

    Нажмите на кнопку Next.

  10. Если параметры ArcSight Manager верны, примите импорт сертификата из места назначения.
  11. Если сертификат импортирован успешно, установите сервис ArcSight SmartConnector.
    • Если установка запущена без прав root, выводится предупреждение.

    Предупреждение о правах пользователя в ArcSight.

    Предупреждение о правах пользователя

    Можно запустить мастер Connector Setup Wizard как root либо можно выполнить следующую команду как root:

    %ARCSIGHT_HOME%/current/bin/arcsight agentsvc -i -u $username -sn $service_name

    Параметры здесь имеют следующий смысл:

    • $username — имя пользователя операционной системы, который будет запускать сервис.
    • $service_name — имя сервиса.

      Рекомендуется задать имя сервиса таким же, как имя коннектора.

    Сообщения о процессе установки будут собраны в файле журнала %ARCSIGHT_HOME%/current/logs/agent.log.

    Пропустите следующий шаг, описывающий указание параметров сервиса.

    • Если установка запускается от имени пользователя root, выберите Install as a service.

    Нажмите на кнопку Next.

  12. Укажите параметры сервиса.

    Рекомендуется задать имя сервиса таким же, как имя коннектора.

    Окно Specify the service parameters в ArcSight.

    Указание параметров сервиса

    Нажмите на кнопку Next.

  13. Запустите ArcSight SmartConnector следующей командой:

    /etc/init.d/arc_$service_name start

    В этой команде $service_name соответствует имени сервиса.

После установки ArcSight SmartConnector можно установить Kaspersky CyberTrace Service и интегрировать его с ArcSight.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!