Шаг 9 (необязательный). Установка Kaspersky CyberTrace App для QRadar
11 апреля 2024
ID 167623
В этом разделе описывается порядок установки Kaspersky CyberTrace App для QRadar.
Для управления приложением Kaspersky CyberTrace App для QRadar необходима учетная запись пользователя с ролью системного администратора.
Получение Kaspersky CyberTrace App для QRadar
Инсталляционный пакет Kaspersky CyberTrace App для QRadar можно получить у вашего персонального технического менеджера (ПТМ).
Установка Kaspersky CyberTrace App для QRadar
Чтобы установить Kaspersky CyberTrace App для QRadar, выполните следующие действия:
- В QRadar выберите Admin, затем Extensions Management.
- В форме Extensions Management нажмите на кнопку Add.
Форма «Extensions Management»
- Выберите файл архива приложения.
- Установите флажок Install immediately.
- Нажмите на кнопку Add.
- Нажмите на кнопку Install.
Отображается список изменений, которые будут внесены. В частности, отображаются пользовательские свойства событий, которые будут добавлены.
Добавляемые пользовательские свойства событий
При установке приложения добавляются следующие пользовательские свойства событий:
url
feed
geo
hash
files
first_seen
last_seen
mask
popularity
threat
whois
URL
SHA1 Hash
SHA256 Hash
MD5 Hash
ip
records_count
Эти свойства будут использоваться для включения индексов добавленных пользовательских свойств события и указания типа источника журналов.
Если используется приложение Kaspersky CyberTrace App для QRadar, поля, добавленные в QRadar при получении пользовательских свойств события, можно удалить. Эти поля дублируют поля, используемые в приложении Kaspersky CyberTrace App для QRadar. Если вместо этого удалить поля, добавленные при установке CyberTrace App для QRadar, приложение может работать некорректно.
- Снова нажмите на кнопку Install.
После установки Kaspersky CyberTrace App for QRadar появится в форме Extensions Management.
- Обновите окно браузера перед использованием приложения.
После установки CyberTrace App для QRadar в QRadar Console появится вкладка с его названием (Kaspersky Data Feeds).
Вкладка Kaspersky Data Feeds
- В QRadar Console выберите вкладку Kaspersky Data Feeds.
Появится форма Configuration required.
Форма Configuration required
- В форме Configuration required:
- В поле QRadar authentication token укажите токен аутентификации для доступа к QRadar REST API.
Можно указать существующий токен или создать новый токен.
Если срок действия указанного токена истечет, при следующем выборе Kaspersky Data Feeds снова появится форма Configuration required. В этом случае будет необходимо указать новый токен.
- В поле Kaspersky CyberTrace Service connection string укажите IP-адрес и порт, которые Kaspersky CyberTrace Service будет прослушивать для получения входящих событий.
IP-адрес
127.0.0.1
указать нельзя, даже если приложение Kaspersky Threat Feed установлено на одном сервере с QRadar. Вместо этого укажите внешний IP-адрес сервера QRadar. - В поле Kaspersky CyberTrace Service log source name укажите имя источника журналов Kaspersky CyberTrace Service, зарегистрированное в QRadar.
Это имя отображается в столбце Name окна, которое открывается после выбора Admin > Log Sources в QRadar Console. Например,
KL_Threat_Feed_Service_v2
.Более подробную информацию об указании источников журналов см. в разделе о настройке Kaspersky CyberTrace App для QRadar.
- В поле QRadar authentication token укажите токен аутентификации для доступа к QRadar REST API.