Установка ArcSight SmartConnector (Linux)
11 апреля 2024
ID 167453
В этом разделе описывается порядок установки ArcSight SmartConnector.
Чтобы установить ArcSight SmartConnector, выполните следующие действия:
- Запустите приложение установки ArcSight SmartConnector.
Это приложение является компонентом HP ArcSight и не входит в состав Kaspersky CyberTrace.
- Выберите каталог установки ArcSight SmartConnector (далее
%ARCSIGHT_HOME%
). - Отключите в установщике создание ссылок.
- После распаковки содержимого бинарного файла выберите Add a Connector.
Добавление коннектора
Если это окно не отображается, настройте ArcSight SmartConnector вручную. Для этого выполните следующую команду:
%ARCSIGHT_HOME%/current/bin/runagentsetup.sh
- В качестве типа коннектора выберите Syslog Daemon.
- В форме Enter the parameter details укажите следующие данные:
- Network Port — порт, на который Kaspersky CyberTrace Service будет отправлять события обнаруженных киберугроз.
Это тот же порт, который указан на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace (по умолчанию
9998
). - IP-адрес — IP-адрес, на который Kaspersky CyberTrace Service будет отправлять события обнаруженных киберугроз.
Это тот же IP-адрес, который указан на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace (по умолчанию
127.0.0.1
).Если Arcsight SmartConnector должен принимать события со всех сетевых интерфейсов хоста, на котором он работает, можно указать
(ALL)
. (Обратите внимание, что указать(ALL)
в конфигурационном файле Kaspersky CyberTrace Service невозможно). - Protocol — укажите
Raw TCP
. - Forwarder — укажите
false
.
Параметры отправки событий обнаруженных киберугроз
Нажмите на кнопку Next.
- Network Port — порт, на который Kaspersky CyberTrace Service будет отправлять события обнаруженных киберугроз.
- В качестве типа назначения укажите ArcSight Manager (encrypted).
Тип назначения
Нажмите на кнопку Next.
- Задайте другие параметры назначения:
- Manager Hostname — хост, на котором запущен ArcSight Manager.
- Manager Port — порт, на котором доступен ArcSight Manager.
По умолчанию это порт 8443.
- User — имя пользователя ArcSight ESM, имеющего права на регистрацию коннектора.
- Password — пароль пользователя ArcSight ESM.
- AUP Master Destination — укажите
false
. - Filter Out All Events — укажите
false
. - Enable Demo CA — укажите
false
.
Параметры назначения
Нажмите на кнопку Next.
- Укажите сведения о коннекторе: имя (можно указать произвольное значение), местоположение (можно указать произвольное значение), местоположение устройства, которое будет отправлять события в коннектор (можно указать произвольное значение, может быть пустым) и комментарий о коннекторе (можно указать произвольное значение, может быть пустым).
Подробные данные коннектора
Нажмите на кнопку Next.
- Если параметры ArcSight Manager верны, примите импорт сертификата из места назначения.
- Если сертификат импортирован успешно, установите сервис ArcSight SmartConnector.
- Если установка запущена без прав root, выводится предупреждение.
Предупреждение о правах пользователя
Можно запустить мастер Connector Setup Wizard как root либо можно выполнить следующую команду как root:
%ARCSIGHT_HOME%/current/bin/arcsight agentsvc -i -u $username -sn $service_name
Параметры здесь имеют следующий смысл:
$username
— имя пользователя операционной системы, который будет запускать сервис.$service_name
— имя сервиса.Рекомендуется задать имя сервиса таким же, как имя коннектора.
Сообщения о процессе установки будут собраны в файле журнала
%ARCSIGHT_HOME%/current/logs/agent.log
.Пропустите следующий шаг, описывающий указание параметров сервиса.
- Если установка запускается от имени пользователя root, выберите Install as a service.
Нажмите на кнопку Next.
- Укажите параметры сервиса.
Рекомендуется задать имя сервиса таким же, как имя коннектора.
Указание параметров сервиса
Нажмите на кнопку Next.
- Запустите ArcSight SmartConnector следующей командой:
/etc/init.d/arc_$service_name start
В этой команде
$service_name
соответствует имени сервиса.
После установки ArcSight SmartConnector можно установить Kaspersky CyberTrace Service и интегрировать его с ArcSight.