Шаг 9 (необязательный). Установка Kaspersky CyberTrace App для QRadar

В этом разделе описывается порядок установки Kaspersky CyberTrace App для QRadar.

Для управления приложением Kaspersky CyberTrace App для QRadar необходима учетная запись пользователя с ролью системного администратора.

Получение Kaspersky CyberTrace App для QRadar

Инсталляционный пакет Kaspersky CyberTrace App для QRadar можно получить у вашего персонального технического менеджера (ПТМ).

Установка Kaspersky CyberTrace App для QRadar

Чтобы установить Kaspersky CyberTrace App для QRadar, выполните следующие действия:

1. В QRadar выберите Admin, затем Extensions Management.
2. В форме Extensions Management нажмите на кнопку Add.

   

   Форма «Extensions Management»

3. Выберите файл архива приложения.
4. Установите флажок Install immediately.
5. Нажмите на кнопку Add.
6. Нажмите на кнопку Install.

   Отображается список изменений, которые будут внесены. В частности, отображаются пользовательские свойства событий, которые будут добавлены.

   

   Добавляемые пользовательские свойства событий

   При установке приложения добавляются следующие пользовательские свойства событий:

   • url
   • feed
   • geo
   • hash
   • files
   • first_seen
   • last_seen
   • mask
   • popularity
   • threat
   • whois
   • URL
   • SHA1 Hash
   • SHA256 Hash
   • MD5 Hash
   • ip
   • records_count

   Эти свойства будут использоваться для включения индексов добавленных пользовательских свойств события и указания типа источника журналов.

   Если используется приложение Kaspersky CyberTrace App для QRadar, поля, добавленные в QRadar при получении пользовательских свойств события, можно удалить. Эти поля дублируют поля, используемые в приложении Kaspersky CyberTrace App для QRadar. Если вместо этого удалить поля, добавленные при установке CyberTrace App для QRadar, приложение может работать некорректно.

7. Снова нажмите на кнопку Install.

   После установки Kaspersky CyberTrace App for QRadar появится в форме Extensions Management.

8. Обновите окно браузера перед использованием приложения.

   После установки CyberTrace App для QRadar в QRadar Console появится вкладка с его названием (Kaspersky Data Feeds).

   

   Вкладка Kaspersky Data Feeds

9. В QRadar Console выберите вкладку Kaspersky Data Feeds.

   Появится форма Configuration required.

   

   Форма Configuration required

10. В форме Configuration required:
    1. В поле QRadar authentication token укажите токен аутентификации для доступа к QRadar REST API.

       Можно указать существующий токен или создать новый токен.

       Если срок действия указанного токена истечет, при следующем выборе Kaspersky Data Feeds снова появится форма Configuration required. В этом случае будет необходимо указать новый токен.

    2. В поле Kaspersky CyberTrace Service connection string укажите IP-адрес и порт, которые Kaspersky CyberTrace Service будет прослушивать для получения входящих событий.

       IP-адрес 127.0.0.1 указать нельзя, даже если приложение Kaspersky Threat Feed установлено на одном сервере с QRadar. Вместо этого укажите внешний IP-адрес сервера QRadar.

    3. В поле Kaspersky CyberTrace Service log source name укажите имя источника журналов Kaspersky CyberTrace Service, зарегистрированное в QRadar.

       Это имя отображается в столбце Name окна, которое открывается после выбора Admin > Log Sources в QRadar Console. Например, KL_Threat_Feed_Service_v2.

       Более подробную информацию об указании источников журналов см. в разделе о настройке Kaspersky CyberTrace App для QRadar.