Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с LogRhythm

Шаг 6. Добавление источника журналов в System Monitor Agent

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Шаг 6. Добавление источника журналов в System Monitor Agent

11 апреля 2024

ID 183792

В этом разделе описаны действия, которые необходимо выполнить, чтобы новый источник журналов, относящийся к Kaspersky CyberTrace, появился в LogRhythm. Если LogRhythm уже настроен должным образом, дополнительные действия не требуются, поскольку новый источник журналов появится в LogRhythm и достаточно проверить, все ли работает в соответствии с требованиями.

Чтобы создать условия для добавления источника журнала, относящегося к Kaspersky CyberTrace, в LogRhythm, выполните следующие действия:

  1. Запустите LogRhythm Console.
  2. Выберите Deployment Manager > System Monitors.
  3. Щелкните правой кнопкой мыши по выбранному агенту и выберите в контекстном меню пункт Properties.

    Окно Deployment Manager в LogRhythm. Контекстное меню.

    Контекстное меню агента

    Откроется окно System Monitor Agent Properties.

  4. Выберите вкладку Syslog and Flow Settings.
  5. Установите флажок Enable Syslog Server.

    Окно System Monitor Agent Properties в LogRhythm.

    Окно System Monitor Agent Properties

  6. Нажмите на кнопку OK.
  7. Выключите Брандмауэр Windows или добавьте в него исключения, чтобы разрешить поступление входящих событий SYSLOG.
  8. Выберите Deployment Manager > Data Processors > Properties > Advanced.

    Откроется окно Data Processor Advanced Properties.

  9. В таблице выберите следующие элементы. Имена свойств содержатся в столбце Name, а в столбце Value содержатся флажки, которые необходимо установить:
    • AutomaticLogSourceConfigurationNetFlow
    • AutomaticLogSourceConfigurationsFlow
    • AutomaticLogSourceConfigurationSNMPTrap
    • AutomaticLogSourceConfigurationSyslog

    Окно Data Processor Advanced Properties в LogRhythm.

    Окно Data Processor Advanced Properties

  10. Нажмите на кнопку OK.
  11. При необходимости перезапустите LogRhythm.

    LogRhythm сообщит, требуется ли перезагрузка.

После того, как Kaspersky CyberTrace отправит событие, на вкладке Log Sources появится новый элемент.

Чтобы принять новый источник журнала, выполните следующие действия:

  1. Щелкните по новому элементу правой кнопкой мыши и выберите Actions > Resolve Log Source Hosts.
  2. Дважды щелкните по новому элементу.

    Откроется окно Log Source Acceptance Properties.

    Окно Log Source Acceptance Properties в LogRhythm.

    Окно Log Source Acceptance Properties

  3. Измените свойства:
    • Укажите хост источника журналов.
    • В качестве типа источника журналов укажите Kaspersky CyberTrace.
    • Укажите политику MPE, добавленную на шаге 4.
  4. Нажмите на кнопку OK.
  5. Если выводится сообщение об ошибке, указывающее на невозможность использования неизвестного узла источника журналов, добавьте новый объект следующим образом:
    1. В LogRhythm Console выберите вкладку Entities.
    2. Нажмите на кнопку New Child Entity на панели инструментов.

      Кнопка New Child Entity (плюс) в LogRhythm.

    3. В открывшемся окне Entity Properties задайте свойства объекта.

      Окно Entity Properties в LogRhythm.

      Имя объекта должно быть уникальным и не может быть пустым. Остальные свойства объекта могут быть произвольными.

    4. Нажмите на кнопку OK.
    5. Повторите действие из шага 3 с использованием используя созданного объекта в качестве хоста источника журналов.
  6. Установите флажок Action.
  7. Щелкните правой кнопкой мыши по источнику журналов и выберите Actions > Accept > Defaults.

    Пункт контекстного меню Actions → Accept → Defaults в LogRhythm.

    Контекстное меню источника журналов

    Новый источник журналов добавляется в нижнюю таблицу LogRhythm Console.

    Окно LogRhythm Console.

    Новый источник журналов

Отключение пересылки журналов для событий, получаемых от Kaspersky CyberTrace

Отключение пересылки журналов для событий, получаемых из Kaspersky CyberTrace, может потребоваться для исключения зацикливания событий, т. е. пересылки полученных событий обратно в Kaspersky CyberTrace.

Чтобы отключить пересылку журналов для событий, получаемых от Kaspersky CyberTrace, выполните следующие действия:

  1. На вкладке Log Sources установите флажок для источника журналов, связанного с Kaspersky CyberTrace.
  2. Щелкните правой кнопкой мыши по источнику журналов и выберите Actions > Edit properties.

    Контекстное меню Edit Properties в LogRhythm.

    Изменение свойств источника журналов Kaspersky CyberTrace

  3. Откроется окно Log Message Source Properties. В раскрывающемся списке Log Message Processing Mode выберите MPE Processing Enabled, Event Forwarding Disabled, затем нажмите на кнопку OK.

    Окно Log Message Source Properties в LogRhythm.

    Указание режима обработки журналов

В столбце MPE Processing Mode для выбранного источника журналов отображается No Event Forwarding.

Столбец MPE Processing Mode в LogRhythm.

Столбец MPE Processing Mode

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!