Импорт файлов конфигурации в AlienVault USM / OSSIM

В этом разделе описывается, как настроить AlienVault USM / OSSIM для обработки Kaspersky CyberTrace как источника событий. Чтобы настроить AlienVault USM / OSSIM для этой цели, обязательно выполните следующую процедуру на сервере, на котором выполняется AlienVault USM / OSSIM.

Чтобы настроить AlienVault USM / OSSIM для получения событий от Kaspersky CyberTrace, выполните следующие действия:

1. Скопируйте следующие файлы конфигурации в соответствующие целевые каталоги:
   • Скопируйте файл kaspersky_cyberTrace.cfg в каталог /etc/ossim/agent/plugins/.
   • Скопируйте файл kaspersky_cyberTrace.sql в каталог /usr/share/doc/ossim-mysql/contrib/plugins/.

   Файлы kaspersky_cyberTrace.cfg и kaspersky_cyberTrace.sql поставляются вместе с данной справочной документацией или предоставляются персональным техническим менеджером (ПТМ).

2. Добавьте следующую строку в раздел plugins файла /etc/ossim/agent/config.cfg:

   kaspersky_cyberTrace =/etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg

3. Добавьте следующее правило в файл /etc/rsyslog.conf:

   if ($fromhost-ip == '%CyberTrace_IP_OUT%') then -/var/log/kaspersky_cyberTrace.log

   Здесь %CyberTrace_IP_OUT% – IP-адрес сервера, с которого Kaspersky CyberTrace отправляет события.

   Рекомендуется добавлять эту строку перед правилами, которые добавляются при настройке AlienVault USM / OSSIM для пересылки событий в Kaspersky CyberTrace.

4. Выполните следующую команду:

   cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db

   Эта команда добавляет информацию о Kaspersky CyberTrace в базу данных AlienVault.

5. Выполните следующую команду:

   /etc/init.d/ossim-agent restart

   /etc/init.d/ossim-server restart

   С помощью этой команды AlienVault USM / OSSIM применяет настройки, заданные в файле конфигурации kaspersky_cyberTrace.cfg. Этот файл содержит правила, которые AlienVault USM / OSSIM использует для парсинга событий Kaspersky CyberTrace.

6. Перезапустите сервис rsyslog следующей командой:

   /etc/init.d/rsyslog restart

7. Настройте утилиту logrotate для архивирования событий Kaspersky CyberTrace на сервере, на котором работает AlienVault USM / OSSIM.
   1. Создайте файл kaspersky_cybertrace в каталоге /etc/logrotate.d.
   2. В файле kaspersky_cybertrace укажите следующие строки:

      /var/log/kaspersky_cyberTrace.log

      {

      # save 3 months of logs

      rotate 3

      monthly

      missingok

      notifempty

      compress

      delaycompress

      sharedscripts

      # run a script after log rotation

      postrotate

      invoke-rc.d rsyslog rotate > /dev/null

      endscript

      }

   3. Сохраните и закройте файл kaspersky_cybertrace.

   Если требуется сохранить журналы за другой период, см. информацию о настройке файла kaspersky_cybertrace в документации по logrotate.

После выполнения этой процедуры устройство Kaspersky CyberTrace будет добавлено в AlienVault USM / OSSIM.

Сервис rsyslog будет сохранять события из Kaspersky CyberTrace в файле /var/log/kaspersky_cyberTrace.log.

После настройки Kaspersky CyberTrace и AlienVault USM / OSSIM выполните проверку работоспособности. Для этого отправьте события, используемые в проверке работоспособности, в Kaspersky CyberTrace с помощью утилиты Log Scanner (является частью Kaspersky CyberTrace). События для проверки работоспособности содержатся в файле verification/kl_verification_test.txt. Результат проверки можно просмотреть в веб-интерфейсе AlienVault USM / OSSIM.

По умолчанию каждое событие обнаружения для каждого потока данных об угрозах Kaspersky Threat Data Feed имеет свой тип в AlienVault. Остальные события обнаружения имеют значение Kaspersky CyberTrace - Detection event в поле event name.

Вы можете переименовать события обнаружения импортированных потоков данных об угрозах, чтобы классифицировать события обнаружения по их категориям.

Чтобы переименовать события обнаружения импортированного потока данных об угрозах, выполните следующие действия:

1. Добавьте следующую строку в раздел translation файла конфигурации /etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg:

   %CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED%=%ANY_FREE_NUMERIC_VALUE%

   где %CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED% – значение атрибута категории импортированного потока данных об угрозах из kl_feed_service.conf. Например: Custom_Feed = 50.

2. Сохраните изменения и закройте файл.
3. Добавьте следующую строку перед последней строкой файла /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql:

   (23021992, %NUMERIC_VALUE_SPECIFIED_AT_THE_kaspersky_cyberTrace.cfg%, 15, 71, NULL, 'Kaspersky CyberTrace - %NAME_TO_REPLACE%', 5, 8),

4. Сохраните изменения и закройте файл.
5. Выполните следующую команду:

   cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db

   /etc/init.d/ossim-agent restart

   /etc/init.d/ossim-server restart