Шаг 7. Настройка пересылки журналов в Kaspersky CyberTrace

В этом разделе рассматривается порядок настройки LogRhythm для пересылки журналов в Kaspersky CyberTrace. Настройка LogRhythm включает добавление приемника журналов и добавление политики рассылки журналов.

Добавление приемника журналов

Создайте новый приемник журналов в LogRhythm. Этот приемник журналов будет представлять Kaspersky CyberTrace.

Чтобы добавить приемник журналов в LogRhythm, выполните следующие действия:

1. Запустите LogRhythm Console.
2. Выберите Deployment Manager > Tools > Distribution > Log Distribution Services > Receiver Manager.

   Откроется окно Log Distribution Receiver Manager.

3. Выберите File > New.
4. Заполните поля открывшегося окна Syslog Receiver Properties:
   • Укажите IP-адрес удаленного хоста, на котором установлено приложение Kaspersky CyberTrace (IP-адрес, указанный в элементе InputSettings > ConnectionString конфигурационного файла Kaspersky CyberTrace Service).
   • Укажите удаленный порт, который Kaspersky CyberTrace прослушивает для получения событий (порт, указанный в элементе InputSettings > ConnectionString конфигурационного файла Kaspersky CyberTrace Service).
   • Измените значение параметра Network Protocol на «TCP».
   • Снимите флажок Сократить сообщение до 1024 байтов (RFC 3164).
5. Нажмите на кнопку OK.
6. После появления новой строки в таблице, щелкните по ней правой кнопкой мыши и выберите пункт контекстного меню Enable.

Добавление политики рассылки журналов

После добавления приемника журналов задайте условия путем добавления политики рассылки журналов для событий, которые будут пересылаться в Kaspersky CyberTrace.

Чтобы добавить политику рассылки журналов, выполните следующие действия:

1. Выберите Deployment Manager > Tools > Distribution > Log Distribution Services > Policy Manager.
2. В открывшемся окне Log Distribution Policy Manager выберите File > New.

   Запустится мастер Log Distribution Policy Wizard. Пройдите следующие шаги мастера, нажимая на кнопку Next.

3. Выберите Selected Log Source Lists или Selected Log Sources.

   

   Окно Select Log Sources

4. В открывшемся окне воспользуйтесь фильтром и укажите источники журналов для событий, которые требуется пересылать в Kaspersky CyberTrace.

   Убедитесь, что Kaspersky CyberTrace не выбран в качестве источника журналов для пересылки, поскольку это привело бы к зацикливанию событий. По той же причине не следует выбирать All available Log Sources на предыдущем шаге.

5. В окне Event Distribution Criteria можно задать более точные фильтры для источников журналов, указанных на предыдущем шаге.

   Дополнительные сведения об определении этих фильтров приведены в документации LogRhythm.

   Рекомендуется не указывать эти фильтры.

6. Если на предыдущем шаге не были указаны какие-либо фильтры, откроется окно подтверждения, как показано на рисунке ниже.

   Нажмите на кнопку Yes.

   

   Подтверждение пересылки всех журналов без применения фильтров

7. В окне Select Distribution Receivers выберите Kaspersky CyberTrace.

   

   Окно Select Distribution Receivers

8. В окне Define Syslog Sender Override Settings оставьте настройки по умолчанию.

   

   Окно Define Syslog Sender Override Settings

9. В окне Additional Information введите имя политики, затем нажмите на кнопку OK.

   

   Окно Additional Information

10. После завершения работы мастера Log Distribution Policy Wizard в таблице появится новая строка.

    Щелкните правой кнопкой мыши по новой строке в таблице и выберите пункт контекстного меню Enabled.

Сервер, на котором установлено приложение Kaspersky CyberTrace, начнет получать журналы. Это можно проверить с помощью утилиты netcat.

Отображение событий обнаруженных киберугроз в LogRhythm

В результате вышеуказанных действий LogRhythm начнет получать и отображать события обнаруженных киберугроз. События также будут отображаться в веб-консоли, доступной по адресу https://<logrhythmIP>:8443 или https://<logrhythmIP>:80.