Устранение неполадок ArcSight
11 апреля 2024
ID 171572
В этом разделе приведена информация, с помощью которой можно решить проблемы, которые могут возникнуть при использовании Kaspersky CyberTrace с ArcSight.
Если при использовании Kaspersky CyberTrace возникла проблема, специалисты «Лаборатории Касперского» могут вам помочь. Свяжитесь со своим персональным техническим менеджером (ПТМ) для получения дополнительной информации для решения проблемы.
Проблема: ArcSight не отображает события из Kaspersky CyberTrace Service или отображает их неправильно
Чтобы решить эту проблему, попробуйте выполнить следующие действия:
- Убедитесь, что сервер с Kaspersky CyberTrace Service включен и Kaspersky CyberTrace Service работает (для Windows-версии см. раздел Управление Kaspersky CyberTrace Service с помощью скрипта (Windows)).
- Убедитесь, что сервер ArcSight доступен с сервера Kaspersky CyberTrace Service.
- Убедитесь, что порт, указанный в строке подключения для вывода, открыт.
- Убедитесь, что ArcSight Forwarding Connector и ArcSight SmartConnector (для версии Windows, см. раздел Установка ArcSight SmartConnector (Windows)) запущены.
- Убедитесь, что Kaspersky CyberTrace Service прослушивает порт, на который Forwarding Connector отправляет данные из ArcSight ESM.
- Убедитесь, что Kaspersky CyberTrace Service отправляет события в ArcSight SmartConnector.
- Убедитесь, что ArcSight SmartConnector настроен правильно.
Для этого выполните следующую команду:
%ARCSIGHT_HOME%/current/bin/runagentsetup.sh
(в Linux)%ARCSIGHT_HOME%\current\bin\runagentsetup.bat
(в Windows)
Здесь
%ARCSIGHT_HOME%
– это каталог, в котором установлен ArcSight SmartConnector.
Проблема: в активном канале не отображаются события после импорта нового пакета ARB
Чтобы решить эту проблему, попробуйте выполнить следующие действия:
Проверьте фильтр, используемый в активном канале:
- Перейдите в раздел Filters > Shared > All Filters > Public > Kaspersky CyberTrace Connector.
- Убедитесь, что в поле
device product
указаноKaspersky CyberTrace for ArcSight
.
Создайте новый активный канал:
- Удалите текущий активный канал и создайте новый.
- Настройте новый активный канал следующим образом:
- Установите параметры
Start Time
иEnd Time
по своему усмотрению. - Установите для параметра
Use as Timestamp
значениеManager Receipt Time
. - Если активный канал должен обновляться автоматически, выберите Continuously evaluate в разделе Time Parameters свойств активного канала.
- В разделе Filters укажите фильтр, имя которого совпадает с именем самого активного канала. Доступные фильтры расположены в дереве ArcSight Console в разделе Filters > Shared > All Filters > Public > Kaspersky CyberTrace Connector, когда в раскрывающемся списке выбран пункт Filters.
- В разделе Fields укажите элемент, имя которого совпадает с именем самого активного канала.
Доступные поля расположены в дереве ArcSight Console в разделе Field sets > Shared > All Field Sets > Public > Kaspersky CyberTrace Connector, когда в раскрывающемся списке выбран пункт Field Sets.
- Установите параметры
Проблема: Kaspersky CyberTrace Service не получает события из ArcSight
Чтобы решить эту проблему, попробуйте выполнить следующие действия:
- Убедитесь, что сервер с Kaspersky CyberTrace Service включен и Kaspersky CyberTrace Service работает (для Windows см. раздел Управление Kaspersky CyberTrace Service с помощью скрипта (Windows)).
- Убедитесь, что сервер ArcSight включен и ArcSight запущен.
- Убедитесь, что сервер Kaspersky CyberTrace Service доступен с сервера ArcSight.
Для этого можно использовать утилиту
ping
. - Убедитесь, что порт, указанный во входной строке подключения, открыт на сервере Kaspersky CyberTrace Service.
Для этого можно использовать утилиту
netcat
. - Проверьте регулярные выражения в конфигурационном файле Kaspersky CyberTrace Service или на вкладке Settings > Events format в веб-интерфейсе Kaspersky CyberTrace.
- Убедитесь, что установленный ArcSight Forwarding Connector работает.
В Linux для этого можно использовать следующую команду:
ps -Af | grep %DIR_NAME%/current/bin
Здесь
%DIR_NAME%
– это каталог, в котором установлен Forwarding Connector. Если процесс Forwarding Connector запущен, информация о нем отображается в консоли. - Если Kaspersky CyberTrace Service перестала получать события от ArcSight после импорта нового пакета ARB, зарегистрируйте ArcSight Forwarding Connector еще раз. Для этого выполните следующую команду и следуйте указаниям мастера:
%ConnectorInstallDir%/current/bin/runagentsetup.sh
Здесь
%ConnectorInstallDir%
– это каталог, в котором установлен ArcSight Forwarding Connector.
Проблема: ошибка аутентификации в ArcSight Forwarding Connector или учетная запись, предназначенная для использования в ArcSight Forwarding Connector, отсутствует
Чтобы решить эту проблему, попробуйте выполнить следующие действия:
- Запустите ArcSight Console.
- Выберите Users > Shared > Custom User Groups.
- Создайте группу Kaspersky CyberTrace Connector.
- Щелкните правой кнопкой мыши группу Kaspersky CyberTrace Connector и выберите Edit Access Control.
- Выберите вкладку Events.
- Нажмите на кнопку Add.
- Выберите фильтр CyberTrace forwarding events.
- Нажмите на кнопку Save.
- В группе Kaspersky CyberTrace Connector укажите следующие параметры для учетной записи:
- Любое имя пользователя (например,
FwdCyberTrace
) - В поле type укажите тип
Forwarding Connector
- Password
- Любое имя пользователя (например,
Эти учетные данные будут использоваться для пересылки событий из ArcSight в Kaspersky CyberTrace.