Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с QRadar

Стандартная интеграция (QRadar)

Шаг 11 (необязательный). Настройка приложения Kaspersky CyberTrace для QRadar

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Шаг 11 (необязательный). Настройка приложения Kaspersky CyberTrace для QRadar

11 апреля 2024

ID 167625

Для настройки Kaspersky CyberTrace App для QRadar можно перейти по ссылке Settings в QRadar Console.

Ссылка Settings в QRadar.

Ссылка Settings

Настройки задаются в форме, которая открывается после перехода по ссылке Settings.

Окно Settings в QRadar.

Форма Settings

Доступны следующие поля настроек:

  • Токен аутентификации QRadar

    Токен аутентификации для доступа к QRadar REST API.

    Можно указать существующий токен или создать новый токен.

  • Строка подключения Kaspersky CyberTrace Service

    IP-адрес и порт, которые служба Kaspersky CyberTrace Service прослушивает для получения входящих событий.

    Если Kaspersky CyberTrace установлен на тот же сервер, на котором установлен QRadar, приложение Kaspersky CyberTrace App для QRadar не сможет подключиться к QRadar, поскольку правила iptables запрещают обмен данными между контейнером Docker, в котором запущено приложение Kaspersky CyberTrace App for QRadar, и сервером QRadar.

    Чтобы приложение Kaspersky CyberTrace App для QRadar могло работать на одном сервере с QRadar, подключитесь к серверу QRadar по протоколу SSH и выполните следующую команду:

    iptables -I INPUT -i <D_interface> -p tcp --destination-port <FS_port> -j ACCEPT

    В эту команду входят следующие параметры:

    • <D_interface> – интерфейс контейнера Docker, содержащего приложение Kaspersky CyberTrace App для QRadar.

      Чтобы выяснить имя <D_interface>, выполните следующие действия:

      1. Найдите идентификатор Kaspersky CyberTrace App для QRadar путем выполнения следующей команды:

        psql -U qradar -c "select id, name from installed_application;"

        Выводится таблица. Найдите значение идентификатора Kaspersky CyberTrace App для QRadar (далее <app_id> ) в столбце id.

      2. Выясните идентификатор контейнера Docker, содержащего Kaspersky CyberTrace App для QRadar, путем выполнения следующей команды:

        docker ps

        В выходных данных найдите образ с именем .../qapp/<app_id>:x.x.x, где x.x.x — установленная версия Kaspersky CyberTrace App for QRadar, и найдите его значение CONTAINER ID (здесь и далее — <container_id>).

      3. Найдите имя интерфейса для образа Docker, содержащего приложение Kaspersky CyberTrace App для QRadar, путем выполнения следующей команды:

        docker inspect <container_id> | grep NetworkMode

        Выводные данные отображаются в формате "NetworkMode": "<D_interface>". Подставьте этот результат вместо <D_interface> в приведенной выше команде.

    • <FS_port> — порт, который Kaspersky CyberTrace Service прослушивает для получения событий.

    В случае запуска указанной выше команды добавленное правило будет присутствовать в iptables только до перезапуска iptables или перезапуска сервера QRadar. Чтобы добавить это правило на постоянной основе, добавьте его в файл /etc/sysconfig/iptables (путь к файлу iptables зависит от конфигурации среды).

    Также обратите внимание, что IP-адрес 127.0.0.1 указать нельзя, даже если приложение Kaspersky CyberTrace App для QRadar установлено на одном сервере с QRadar. Вместо этого укажите внешний IP-адрес сервера QRadar.

  • Тип источника журналов Kaspersky CyberTrace

    Имя источника журналов Kaspersky CyberTrace Service, зарегистрированное в QRadar. Это имя отображается в столбце Name окна, которое открывается после выбора Admin > Log Sources в QRadar Console.

    Если источник журналов Kaspersky CyberTrace Service был добавлен автоматически при отправке исходного набора событий Kaspersky CyberTrace Service в QRadar, у источника журнала будет имя Kaspersky Threat Feed Service @ [id], где [id] — идентификатор событий Kaspersky CyberTrace Service. (По умолчанию [id] — это KL_Threat_Feed_Service_v2). Если Kaspersky CyberTrace Service добавлялся в QRadar в качестве источника журнала вручную, поскольку отсутствовали последние обновления QRadar, у источника журнала будет имя [id]; то есть по умолчанию KL_Threat_Feed_Service_v2.

    После изменения имени источника журналов или установки приложения Kaspersky CyberTrace App для QRadar для визуализации запрошенных данных должно пройти некоторое время. Во время загрузки данных отображается индикатор хода выполнения. Время, необходимое для получения всех данных, зависит от выбранного периода визуализации данных.

После настройки Kaspersky CyberTrace App для QRadar можно запустить проверку работоспособности, для чего необходимо нажать на кнопку Run self-test.

Окно Settings в QRadar. Результаты самостоятельной диагностики.

Результаты самостоятельной диагностики

Результат проверки Failed для любого потока данных об угрозах означает, что тестируемый объект был отнесен к неверной категории. Ошибка может возникать, например, из-за некорректного конфигурационного файла.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!