Шаг 11 (необязательный). Настройка приложения Kaspersky CyberTrace для QRadar
11 апреля 2024
ID 167625
Для настройки Kaspersky CyberTrace App для QRadar можно перейти по ссылке Settings в QRadar Console.
Ссылка Settings
Настройки задаются в форме, которая открывается после перехода по ссылке Settings.
Форма Settings
Доступны следующие поля настроек:
- Токен аутентификации QRadar
Токен аутентификации для доступа к QRadar REST API.
Можно указать существующий токен или создать новый токен.
- Строка подключения Kaspersky CyberTrace Service
IP-адрес и порт, которые служба Kaspersky CyberTrace Service прослушивает для получения входящих событий.
Если Kaspersky CyberTrace установлен на тот же сервер, на котором установлен QRadar, приложение Kaspersky CyberTrace App для QRadar не сможет подключиться к QRadar, поскольку правила iptables запрещают обмен данными между контейнером Docker, в котором запущено приложение Kaspersky CyberTrace App for QRadar, и сервером QRadar.
Чтобы приложение Kaspersky CyberTrace App для QRadar могло работать на одном сервере с QRadar, подключитесь к серверу QRadar по протоколу SSH и выполните следующую команду:
iptables -I INPUT -i <D_interface> -p tcp --destination-port <FS_port> -j ACCEPT
В эту команду входят следующие параметры:
-
<D_interface>
– интерфейс контейнера Docker, содержащего приложение Kaspersky CyberTrace App для QRadar.Чтобы выяснить имя
<D_interface>
, выполните следующие действия:- Найдите идентификатор Kaspersky CyberTrace App для QRadar путем выполнения следующей команды:
psql -U qradar -c "select id, name from installed_application;"
Выводится таблица. Найдите значение идентификатора Kaspersky CyberTrace App для QRadar (далее
<app_id>
) в столбцеid
. - Выясните идентификатор контейнера Docker, содержащего Kaspersky CyberTrace App для QRadar, путем выполнения следующей команды:
docker ps
В выходных данных найдите образ с именем
.../qapp/<app_id>:x.x.x
, гдеx.x.x
— установленная версия Kaspersky CyberTrace App for QRadar, и найдите его значениеCONTAINER ID
(здесь и далее —<container_id>
). - Найдите имя интерфейса для образа Docker, содержащего приложение Kaspersky CyberTrace App для QRadar, путем выполнения следующей команды:
docker inspect <container_id> | grep NetworkMode
Выводные данные отображаются в формате
"NetworkMode": "<D_interface>"
. Подставьте этот результат вместо<D_interface>
в приведенной выше команде.
- Найдите идентификатор Kaspersky CyberTrace App для QRadar путем выполнения следующей команды:
<FS_port>
— порт, который Kaspersky CyberTrace Service прослушивает для получения событий.
В случае запуска указанной выше команды добавленное правило будет присутствовать в iptables только до перезапуска iptables или перезапуска сервера QRadar. Чтобы добавить это правило на постоянной основе, добавьте его в файл
/etc/sysconfig/iptables
(путь к файлу iptables зависит от конфигурации среды).Также обратите внимание, что IP-адрес
127.0.0.1
указать нельзя, даже если приложение Kaspersky CyberTrace App для QRadar установлено на одном сервере с QRadar. Вместо этого укажите внешний IP-адрес сервера QRadar. -
- Тип источника журналов Kaspersky CyberTrace
Имя источника журналов Kaspersky CyberTrace Service, зарегистрированное в QRadar. Это имя отображается в столбце Name окна, которое открывается после выбора Admin > Log Sources в QRadar Console.
Если источник журналов Kaspersky CyberTrace Service был добавлен автоматически при отправке исходного набора событий Kaspersky CyberTrace Service в QRadar, у источника журнала будет имя
Kaspersky Threat Feed Service @ [id]
, где[id]
— идентификатор событий Kaspersky CyberTrace Service. (По умолчанию[id]
— этоKL_Threat_Feed_Service_v2
). Если Kaspersky CyberTrace Service добавлялся в QRadar в качестве источника журнала вручную, поскольку отсутствовали последние обновления QRadar, у источника журнала будет имя[id]
; то есть по умолчаниюKL_Threat_Feed_Service_v2
.После изменения имени источника журналов или установки приложения Kaspersky CyberTrace App для QRadar для визуализации запрошенных данных должно пройти некоторое время. Во время загрузки данных отображается индикатор хода выполнения. Время, необходимое для получения всех данных, зависит от выбранного периода визуализации данных.
После настройки Kaspersky CyberTrace App для QRadar можно запустить проверку работоспособности, для чего необходимо нажать на кнопку Run self-test.
Результаты самостоятельной диагностики
Результат проверки Failed
для любого потока данных об угрозах означает, что тестируемый объект был отнесен к неверной категории. Ошибка может возникать, например, из-за некорректного конфигурационного файла.