Устранение неполадок ArcSight

В этом разделе приведена информация, с помощью которой можно решить проблемы, которые могут возникнуть при использовании Kaspersky CyberTrace с ArcSight.

Если при использовании Kaspersky CyberTrace возникла проблема, специалисты «Лаборатории Касперского» могут вам помочь. Свяжитесь со своим персональным техническим менеджером (ПТМ) для получения дополнительной информации для решения проблемы.

Проблема: ArcSight не отображает события из Kaspersky CyberTrace Service или отображает их неправильно

Чтобы решить эту проблему, попробуйте выполнить следующие действия:

• Убедитесь, что сервер с Kaspersky CyberTrace Service включен и Kaspersky CyberTrace Service работает (для Windows-версии см. раздел Управление Kaspersky CyberTrace Service с помощью скрипта (Windows)).
• Убедитесь, что сервер ArcSight доступен с сервера Kaspersky CyberTrace Service.
• Убедитесь, что порт, указанный в строке подключения для вывода, открыт.
• Убедитесь, что ArcSight Forwarding Connector и ArcSight SmartConnector (для версии Windows, см. раздел Установка ArcSight SmartConnector (Windows)) запущены.
• Убедитесь, что Kaspersky CyberTrace Service прослушивает порт, на который Forwarding Connector отправляет данные из ArcSight ESM.
• Убедитесь, что Kaspersky CyberTrace Service отправляет события в ArcSight SmartConnector.
• Убедитесь, что ArcSight SmartConnector настроен правильно.

  Для этого выполните следующую команду:

  • %ARCSIGHT_HOME%/current/bin/runagentsetup.sh (в Linux)
  • %ARCSIGHT_HOME%\current\bin\runagentsetup.bat (в Windows)

  Здесь %ARCSIGHT_HOME% – это каталог, в котором установлен ArcSight SmartConnector.

Проблема: в активном канале не отображаются события после импорта нового пакета ARB

Чтобы решить эту проблему, попробуйте выполнить следующие действия:

Проверьте фильтр, используемый в активном канале:

1. Перейдите в раздел Filters > Shared > All Filters > Public > Kaspersky CyberTrace Connector.
2. Убедитесь, что в поле device product указано Kaspersky CyberTrace for ArcSight.

Создайте новый активный канал:

1. Удалите текущий активный канал и создайте новый.
2. Настройте новый активный канал следующим образом:
   • Установите параметры Start Time и End Time по своему усмотрению.
   • Установите для параметра Use as Timestamp значение Manager Receipt Time.
   • Если активный канал должен обновляться автоматически, выберите Continuously evaluate в разделе Time Parameters свойств активного канала.
   • В разделе Filters укажите фильтр, имя которого совпадает с именем самого активного канала. Доступные фильтры расположены в дереве ArcSight Console в разделе Filters > Shared > All Filters > Public > Kaspersky CyberTrace Connector, когда в раскрывающемся списке выбран пункт Filters.
   • В разделе Fields укажите элемент, имя которого совпадает с именем самого активного канала.

     Доступные поля расположены в дереве ArcSight Console в разделе Field sets > Shared > All Field Sets > Public > Kaspersky CyberTrace Connector, когда в раскрывающемся списке выбран пункт Field Sets.

Проблема: Kaspersky CyberTrace Service не получает события из ArcSight

Чтобы решить эту проблему, попробуйте выполнить следующие действия:

• Убедитесь, что сервер с Kaspersky CyberTrace Service включен и Kaspersky CyberTrace Service работает (для Windows см. раздел Управление Kaspersky CyberTrace Service с помощью скрипта (Windows)).
• Убедитесь, что сервер ArcSight включен и ArcSight запущен.
• Убедитесь, что сервер Kaspersky CyberTrace Service доступен с сервера ArcSight.

  Для этого можно использовать утилиту ping.

• Убедитесь, что порт, указанный во входной строке подключения, открыт на сервере Kaspersky CyberTrace Service.

  Для этого можно использовать утилиту netcat.

• Проверьте регулярные выражения в конфигурационном файле Kaspersky CyberTrace Service или на вкладке Settings > Events format в веб-интерфейсе Kaspersky CyberTrace.
• Убедитесь, что установленный ArcSight Forwarding Connector работает.

  В Linux для этого можно использовать следующую команду:

  ps -Af | grep %DIR_NAME%/current/bin

  Здесь %DIR_NAME% – это каталог, в котором установлен Forwarding Connector. Если процесс Forwarding Connector запущен, информация о нем отображается в консоли.

• Если Kaspersky CyberTrace Service перестала получать события от ArcSight после импорта нового пакета ARB, зарегистрируйте ArcSight Forwarding Connector еще раз. Для этого выполните следующую команду и следуйте указаниям мастера:

  %ConnectorInstallDir%/current/bin/runagentsetup.sh

  Здесь %ConnectorInstallDir% – это каталог, в котором установлен ArcSight Forwarding Connector.

Проблема: ошибка аутентификации в ArcSight Forwarding Connector или учетная запись, предназначенная для использования в ArcSight Forwarding Connector, отсутствует

Чтобы решить эту проблему, попробуйте выполнить следующие действия:

1. Запустите ArcSight Console.
2. Выберите Users > Shared > Custom User Groups.
3. Создайте группу Kaspersky CyberTrace Connector.
4. Щелкните правой кнопкой мыши группу Kaspersky CyberTrace Connector и выберите Edit Access Control.
5. Выберите вкладку Events.
6. Нажмите на кнопку Add.
7. Выберите фильтр CyberTrace forwarding events.
8. Нажмите на кнопку Save.
9. В группе Kaspersky CyberTrace Connector укажите следующие параметры для учетной записи:
   • Любое имя пользователя (например, FwdCyberTrace)
   • В поле type укажите тип Forwarding Connector
   • Password

Эти учетные данные будут использоваться для пересылки событий из ArcSight в Kaspersky CyberTrace.