Импорт файлов конфигурации в AlienVault USM / OSSIM
11 апреля 2024
ID 183920
В этом разделе описывается, как настроить AlienVault USM / OSSIM для обработки Kaspersky CyberTrace как источника событий. Чтобы настроить AlienVault USM / OSSIM для этой цели, обязательно выполните следующую процедуру на сервере, на котором выполняется AlienVault USM / OSSIM.
Чтобы настроить AlienVault USM / OSSIM для получения событий от Kaspersky CyberTrace, выполните следующие действия:
- Скопируйте следующие файлы конфигурации в соответствующие целевые каталоги:
- Скопируйте файл kaspersky_cyberTrace.cfg в каталог
/etc/ossim/agent/plugins/
. - Скопируйте файл kaspersky_cyberTrace.sql в каталог
/usr/share/doc/ossim-mysql/contrib/plugins/
.
Файлы kaspersky_cyberTrace.cfg и kaspersky_cyberTrace.sql поставляются вместе с данной справочной документацией или предоставляются персональным техническим менеджером (ПТМ).
- Скопируйте файл kaspersky_cyberTrace.cfg в каталог
- Добавьте следующую строку в раздел
plugins
файла/etc/ossim/agent/config.cfg
:kaspersky_cyberTrace =/etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg
- Добавьте следующее правило в файл
/etc/rsyslog.conf
:if ($fromhost-ip == '%CyberTrace_IP_OUT%') then -/var/log/kaspersky_cyberTrace.log
Здесь
%CyberTrace_IP_OUT%
– IP-адрес сервера, с которого Kaspersky CyberTrace отправляет события.Рекомендуется добавлять эту строку перед правилами, которые добавляются при настройке AlienVault USM / OSSIM для пересылки событий в Kaspersky CyberTrace.
- Выполните следующую команду:
cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db
Эта команда добавляет информацию о Kaspersky CyberTrace в базу данных AlienVault.
- Выполните следующую команду:
/etc/init.d/ossim-agent restart
/etc/init.d/ossim-server restart
С помощью этой команды AlienVault USM / OSSIM применяет настройки, заданные в файле конфигурации kaspersky_cyberTrace.cfg. Этот файл содержит правила, которые AlienVault USM / OSSIM использует для парсинга событий Kaspersky CyberTrace.
- Перезапустите сервис rsyslog следующей командой:
/etc/init.d/rsyslog restart
- Настройте утилиту
logrotate
для архивирования событий Kaspersky CyberTrace на сервере, на котором работает AlienVault USM / OSSIM.- Создайте файл
kaspersky_cybertrace
в каталоге/etc/logrotate.d
. - В файле
kaspersky_cybertrace
укажите следующие строки:/var/log/kaspersky_cyberTrace.log
{
# save 3 months of logs
rotate 3
monthly
missingok
notifempty
compress
delaycompress
sharedscripts
# run a script after log rotation
postrotate
invoke-rc.d rsyslog rotate > /dev/null
endscript
}
- Сохраните и закройте файл
kaspersky_cybertrace
.
Если требуется сохранить журналы за другой период, см. информацию о настройке файла
kaspersky_cybertrace
в документации по logrotate. - Создайте файл
После выполнения этой процедуры устройство Kaspersky CyberTrace будет добавлено в AlienVault USM / OSSIM.
Сервис rsyslog будет сохранять события из Kaspersky CyberTrace в файле /var/log/kaspersky_cyberTrace.log
.
После настройки Kaspersky CyberTrace и AlienVault USM / OSSIM выполните проверку работоспособности. Для этого отправьте события, используемые в проверке работоспособности, в Kaspersky CyberTrace с помощью утилиты Log Scanner (является частью Kaspersky CyberTrace). События для проверки работоспособности содержатся в файле verification/kl_verification_test.txt
. Результат проверки можно просмотреть в веб-интерфейсе AlienVault USM / OSSIM.
По умолчанию каждое событие обнаружения для каждого потока данных об угрозах Kaspersky Threat Data Feed имеет свой тип в AlienVault. Остальные события обнаружения имеют значение Kaspersky CyberTrace - Detection event
в поле event name
.
Вы можете переименовать события обнаружения импортированных потоков данных об угрозах, чтобы классифицировать события обнаружения по их категориям.
Чтобы переименовать события обнаружения импортированного потока данных об угрозах, выполните следующие действия:
- Добавьте следующую строку в раздел
translation
файла конфигурации/etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg
:%CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED%=%ANY_FREE_NUMERIC_VALUE%
где
%CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED%
– значение атрибута категории импортированного потока данных об угрозах изkl_feed_service.conf
. Например:Custom_Feed = 50
. - Сохраните изменения и закройте файл.
- Добавьте следующую строку перед последней строкой файла
/usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql
:(23021992, %NUMERIC_VALUE_SPECIFIED_AT_THE_kaspersky_cyberTrace.cfg%, 15, 71, NULL, 'Kaspersky CyberTrace - %NAME_TO_REPLACE%', 5, 8),
- Сохраните изменения и закройте файл.
- Выполните следующую команду:
cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db
/etc/init.d/ossim-agent restart
/etc/init.d/ossim-server restart