Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с AlienVault USM / OSSIM

Пересылка событий из AlienVault USM / OSSIM в Kaspersky CyberTrace

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Пересылка событий из AlienVault USM / OSSIM в Kaspersky CyberTrace

11 апреля 2024

ID 183921

В этом разделе описано, как настроить AlienVault USM / OSSIM для пересылки событий в Kaspersky CyberTrace.

Чтобы настроить AlienVault USM / OSSIM для пересылки событий в Kaspersky CyberTrace, выполните следующие действия:

  1. Для каждого устройства, с которого события будут пересылаться в Kaspersky CyberTrace, добавьте в файл /etc/rsyslog.conf следующее правило:

    if ($fromhost-ip == '%DEVICE_IP%') then {action (type="omfwd" Target="%CyberTrace_IP_IN%" Port="%CyberTrace_PORT_IN%" Protocol="tcp" Device="%INTERFACE%") action (type="omfile" File="%PATH%")}

    Параметры здесь имеют следующий смысл:

    • %CyberTrace_IP_IN% – IP-адрес сервера, на котором выполняется Kaspersky CyberTrace.
    • %CyberTrace_PORT_IN% — порт, который Kaspersky CyberTrace прослушивает для получения событий.
    • %INTERFACE% – имя сетевого интерфейса сервера, на котором выполняется AlienVault USM / OSSIM, который будет использоваться для пересылки событий в Kaspersky CyberTrace.

      Например, eth0.

    • %DEVICE_IP% – IP-адрес устройства, события с которого поступают в AlienVault USM / OSSIM и должны быть пересланы в Kaspersky CyberTrace.
    • action (type="omfile" File="%PATH%") – инструкции для службы rsyslog по сохранению в AlienVault USM / OSSIM событий, которые пересылаются в Kaspersky CyberTrace.

      %PATH% – путь к файлу, в котором будут храниться события. %PATH% может быть любым файлом, в котором вы хотите хранить пересылаемые события.

      action (type="omfile" File="%PATH%") – необязательно. Вы можете указать эту команду в процессе интеграции, чтобы проверить следующее:

      • тот факт, что события пересылаются в Kaspersky CyberTrace;
      • список событий, которые пересылаются в Kaspersky CyberTrace.

      По завершении процесса интеграции рекомендуется удалить эту строку из файла конфигурации.

    Это правило необходимо добавить после текста # rsyslog zasec.conf. Если этого текста нет в файле конфигурации, добавьте правило перед следующими строками:

    if not ($fromhost-ip == '127.0.0.1') then -/var/log/ossim/asec_unk.log

    if not ($fromhost-ip == '127.0.0.1') then ~

  2. Перезапустите сервис rsyslog следующей командой:

    /etc/init.d/rsyslog restart

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!