Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с ArcSight ESM

Стандартная интеграция (ArcSight)

Шаг 2. Установка ArcSight Forwarding Connector

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Шаг 2. Установка ArcSight Forwarding Connector

11 апреля 2024

ID 167564

В этом разделе описывается порядок установки ArcSight Forwarding Connector.

ArcSight Forwarding Connector является компонентом HP ArcSight и не входит в состав Kaspersky CyberTrace. Это приложение можно получить одним из следующих способов:

  • Обратитесь в службу поддержки HP для получения ArcSight Forwarding Connector.
  • Обратитесь к своему персональному техническому менеджеру «Лаборатории Касперского» (TAM) для получения ArcSight Forwarding Connector.

Чтобы установить ArcSight Forwarding Connector, выполните следующие действия:

  1. Запустите приложение установки ArcSight Forwarding Connector.
  2. Выберите каталог установки ArcSight Forwarding Connector (далее %ConnectorInstallDir%).
  3. После распаковки установочных файлов выберите Add a Connector.

    Выбор Add a Connector в ArcSight.

    Добавление коннектора

    Нажмите на кнопку Next.

  4. В раскрывающемся списке Type выберите ArcSight Forwarding Connector (Enhanced).

    Окно Select the connector to configure в ArcSight.

    Выбор типа коннектора

    Нажмите на кнопку Next.

  5. Укажите следующие параметры подключения ArcSight Source Manager:
    • Host Name

      Хост ArcSight Source Manager.

    • Port

      Порт ArcSight Source Manager (по умолчанию 8443).

    • User Name

      Имя пользователя учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию FwdCyberTrace).

      Вместо FwdCyberTrace можно указать другого пользователя. Для этого укажите собственного пользователя ArcSight в настройках ArcSight Forwarding Connector.

    • Password

      Пароль от учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию KasperskyLab!).

    Окно Enter the parameter details в ArcSight.

    Параметры ArcSight Source Manager

    Если возникает ошибка аутентификации (неверное имя пользователя или пароль), рекомендуется проверить, присутствует ли пользователь FwdCyberTrace в ArcSight Console. Если нет, создайте его вручную.

    Нажмите на кнопку Next.

  6. Если указаны правильные параметры подключения, импортируйте требуемый сертификат.

    Импорт сертификата в ArcSight.

    Импорт сертификата

    Нажмите на кнопку Next.

  7. Укажите CEF Syslog в качестве формата событий, который будет использоваться для событий, отправляемых в Kaspersky CyberTrace Service.

    Окно Enter the type of destination в ArcSight.

    Настройка формата события

    Нажмите на кнопку Next.

  8. Укажите IP-адрес (или хост) и порт, который Kaspersky CyberTrace Service будет прослушивать для получения событий. В качестве протокола укажите Raw TCP.

    IP-адрес и порт совпадают с указанными на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace. По умолчанию в качестве IP-адреса и порта для получения событий от ArcSight используется 127.0.0.1:9999.

    Окно Enter the destination parameters в ArcSight.

    Настройка назначения события

    Нажмите на кнопку Next.

  9. Укажите сведения нового объекта ArcSight Forwarding Connector: имя (можно указать произвольное значение), местоположение (можно указать произвольное значение), местоположение устройства, которое будет отправлять события в коннектор (можно указать произвольное значение, может быть пустым) и комментарий о коннекторе (можно указать произвольное значение, может быть пустым).

    Окно Enter the connector details в ArcSight.

    Подробные данные коннектора

    Нажмите на кнопку Next.

  10. Установите сервис ArcSight Forwarding Connector.
    • Если мастер Connector Setup Wizard запущен без прав root, выводится предупреждение.

    Предупреждение о правах пользователя в ArcSight.

    Предупреждение о правах пользователя

    Можно запустить мастер Connector Setup Wizard как root либо можно выполнить следующую команду как root:

    %ConnectorInstallDir%/current/bin/arcsight agentsvc -i -u $username -sn $service_name

    Параметры здесь имеют следующий смысл:

    • $username — имя пользователя операционной системы, который будет запускать сервис.
    • $service_name — имя сервиса.

      Рекомендуется задать имя сервиса таким же, как имя коннектора.

    Сообщения о процессе установки выводятся в файл журнала %ConnectorInstallDir%/current/logs/agent.log.

    Пропустите следующий шаг, описывающий указание параметров сервиса.

    • Если установка запускается от имени пользователя root, выберите Install as a service.

    Выбор Install as a service в ArcSight.

    Выбор режима установки

    Нажмите на кнопку Next.

  11. Укажите параметры сервиса.

    Рекомендуется задать имя сервиса таким же, как имя коннектора.

    Окно Specifying the service parameters в ArcSight.

    Указание параметров сервиса

    Нажмите на кнопку Next.

    После этого мастер Connector Setup Wizard сообщит о том, что новый Forwarding Connector установлен.

  12. Убедитесь, что коннектор работает (о том, как это делается, см. в разделе об устранении неполадок ArcSight). Если он не запущен, запустите его с помощью следующей команды:

    /etc/init.d/arc_%FORWARDING% start

    Здесь %FORWARDING% соответствует имени коннектора.

Если Forwarding Connector отправляет в Kaspersky CyberTrace Service большое количество событий (более 1000 событий в секунду), рекомендуется сделать следующее: в файле %ConnectorInstallDir%/current/user/agentagent.wrapper.conf задать в поле wrapper.java.maxmemory значение 512 и перезапустить Forwarding Connector.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!