Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с ArcSight ESM

Стандартная интеграция (ArcSight)

Шаг 2 (альтернативный). Установка ArcSight Forwarding Connector с помощью консоли

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Шаг 2 (альтернативный). Установка ArcSight Forwarding Connector с помощью консоли

11 апреля 2024

ID 167566

Для установки ArcSight Forwarding Connector вместо установщика с графическим интерфейсом пользователя можно воспользоваться консолью.

Чтобы установите ArcSight Forwarding Connector с помощью консоли, выполните следующие действия:

  1. В консоли запустите установщик ArcSight Forwarding Connector.
  2. Прочтите раздел Introduction и нажмите клавишу Enter.
  3. При появлении соответствующего запроса выберите Choose Install Folder и введите полный путь к каталогу, в который будет установлен ArcSight Forwarding Connector (%ConnectorInstallDir%).

    По умолчанию задан каталог /root/ArcSightSmartConnectors

  4. При появлении соответствующего запроса выберите Choose Install Set и введите 1 (что соответствует варианту Typical).
  5. При появлении соответствующего запроса выберите Choose Link Location и укажите, требуется ли создавать ссылку на каталог установки.

    Рекомендуется выбрать вариант Don't create links.

  6. Убедитесь, что в разделе Pre-Installation Summary указаны правильные значения настроек установки. Если значения правильные, нажмите клавишу Enter.

    После установки ArcSight Forwarding Connector в консоли выводится следующая информация:

    Installation Complete

    ---------------------

    The core components of the ArcSight SmartConnector have been successfully installed to:

    %ConnectorInstallDir%

    To finish the configuration of the SmartAgent, please go to the folder:

    %ConnectorInstallDir%/current/bin/

    and execute the script:

    ./runagentsetup.sh

  7. Запустите скрипт %ConnectorInstallDir%/current/bin/runagentsetup.sh.
  8. При появлении соответствующего запроса выберите Add a Connector.
  9. Укажите тип коннектора ArcSight Forwarding Connector.
  10. Укажите, требуется ли маскировать пароли.

    Рекомендуется указать yes.

  11. Укажите следующие параметры подключения ArcSight Source Manager:
    • Host Name

      Хост ArcSight Source Manager.

    • Port

      Порт ArcSight Source Manager (по умолчанию 8443).

    • User

      Имя пользователя учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию FwdCyberTrace).

      Вместо FwdCyberTrace можно указать другого пользователя. Для этого укажите собственного пользователя ArcSight в настройках ArcSight Forwarding Connector.

    • Password

      Пароль от учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию KasperskyLab!).

  12. Укажите следующее действие для импорта сертификата: Import the certificate to connector from destination.
  13. Укажите тип назначения: CEF Syslog.
  14. Задайте следующие настройки:
    • Ip/Host

      IP-адрес, который Kaspersky CyberTrace Service прослушивает для получения событий.

    • Port

      Порт на котором Kaspersky CyberTrace Service получает события. По умолчанию это 9999.

    • Protocol

      Укажите Raw TCP.

    IP-адрес и порт совпадают с указанными в разделе Connection settings на вкладке Service в веб-интерфейсе Kaspersky CyberTrace.

  15. Задайте следующие настройки коннектора:
    • Имя

      Можно указать произвольное значение.

    • Location

      Можно указать произвольное значение.

    • DeviceLocation

      Можно указать произвольное значение.

    • Comment

      Можно указать произвольное значение.

    После этого коннектор регистрируется.

  16. Укажите способ установки коннектора: Install as a service.
  17. Задайте настройки учетной записи:
    • Service Internal Name
    • Service Display Name
    • Start the service automatically

      Задает, должен ли сервис запускаться при запуске системы. Рекомендуется указать yes.

  18. Проверьте указанные данные. Если данные верны, нажмите клавишу Enter.

    Выполняется установка коннектора как сервиса.

  19. Убедитесь, что коннектор работает (о том, как это делается, см. в разделе об устранении неполадок ArcSight). Если он не запущен, запустите его с помощью следующей команды:

    /etc/init.d/arc_%FORWARDING% start

    Здесь %FORWARDING% соответствует имени коннектора.

Если Forwarding Connector отправляет в Kaspersky CyberTrace Service большое количество событий (более 1000 событий в секунду), рекомендуется сделать следующее: в файле %ConnectorInstallDir%/current/user/agentagent.wrapper.conf задать в поле wrapper.java.maxmemory значение 512 и перезапустить Forwarding Connector.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!