Шаг 7. Настройка пересылки журналов в Kaspersky CyberTrace
11 апреля 2024
ID 183793
В этом разделе рассматривается порядок настройки LogRhythm для пересылки журналов в Kaspersky CyberTrace. Настройка LogRhythm включает добавление приемника журналов и добавление политики рассылки журналов.
Добавление приемника журналов
Создайте новый приемник журналов в LogRhythm. Этот приемник журналов будет представлять Kaspersky CyberTrace.
Чтобы добавить приемник журналов в LogRhythm, выполните следующие действия:
- Запустите LogRhythm Console.
- Выберите Deployment Manager > Tools > Distribution > Log Distribution Services > Receiver Manager.
Откроется окно Log Distribution Receiver Manager.
- Выберите File > New.
- Заполните поля открывшегося окна Syslog Receiver Properties:
- Укажите IP-адрес удаленного хоста, на котором установлено приложение Kaspersky CyberTrace (IP-адрес, указанный в элементе
InputSettings > ConnectionString
конфигурационного файла Kaspersky CyberTrace Service). - Укажите удаленный порт, который Kaspersky CyberTrace прослушивает для получения событий (порт, указанный в элементе
InputSettings > ConnectionString
конфигурационного файла Kaspersky CyberTrace Service). - Измените значение параметра Network Protocol на «TCP».
- Снимите флажок Сократить сообщение до 1024 байтов (RFC 3164).
- Укажите IP-адрес удаленного хоста, на котором установлено приложение Kaspersky CyberTrace (IP-адрес, указанный в элементе
- Нажмите на кнопку OK.
- После появления новой строки в таблице, щелкните по ней правой кнопкой мыши и выберите пункт контекстного меню Enable.
Добавление политики рассылки журналов
После добавления приемника журналов задайте условия путем добавления политики рассылки журналов для событий, которые будут пересылаться в Kaspersky CyberTrace.
Чтобы добавить политику рассылки журналов, выполните следующие действия:
- Выберите Deployment Manager > Tools > Distribution > Log Distribution Services > Policy Manager.
- В открывшемся окне Log Distribution Policy Manager выберите File > New.
Запустится мастер Log Distribution Policy Wizard. Пройдите следующие шаги мастера, нажимая на кнопку Next.
- Выберите Selected Log Source Lists или Selected Log Sources.
Окно Select Log Sources
- В открывшемся окне воспользуйтесь фильтром и укажите источники журналов для событий, которые требуется пересылать в Kaspersky CyberTrace.
Убедитесь, что Kaspersky CyberTrace не выбран в качестве источника журналов для пересылки, поскольку это привело бы к зацикливанию событий. По той же причине не следует выбирать All available Log Sources на предыдущем шаге.
- В окне Event Distribution Criteria можно задать более точные фильтры для источников журналов, указанных на предыдущем шаге.
Дополнительные сведения об определении этих фильтров приведены в документации LogRhythm.
Рекомендуется не указывать эти фильтры.
- Если на предыдущем шаге не были указаны какие-либо фильтры, откроется окно подтверждения, как показано на рисунке ниже.
Нажмите на кнопку Yes.
Подтверждение пересылки всех журналов без применения фильтров
- В окне Select Distribution Receivers выберите
Kaspersky CyberTrace
.Окно Select Distribution Receivers
- В окне Define Syslog Sender Override Settings оставьте настройки по умолчанию.
Окно Define Syslog Sender Override Settings
- В окне Additional Information введите имя политики, затем нажмите на кнопку OK.
Окно Additional Information
- После завершения работы мастера Log Distribution Policy Wizard в таблице появится новая строка.
Щелкните правой кнопкой мыши по новой строке в таблице и выберите пункт контекстного меню Enabled.
Сервер, на котором установлено приложение Kaspersky CyberTrace, начнет получать журналы. Это можно проверить с помощью утилиты netcat.
Отображение событий обнаруженных киберугроз в LogRhythm
В результате вышеуказанных действий LogRhythm начнет получать и отображать события обнаруженных киберугроз. События также будут отображаться в веб-консоли, доступной по адресу https://<logrhythmIP>:8443
или https://<logrhythmIP>:80
.