Настройка Kaspersky CyberTrace для интеграции с AlienVault USM / OSSIM
11 апреля 2024
ID 183922
В этом разделе описано, как настроить Kaspersky CyberTrace для интеграции с AlienVault USM / OSSIM.
Kaspersky CyberTrace и устройство, события которого будут пересылаться в Kaspersky CyberTrace, должны работать на разных серверах. Правила пересылки основаны на IP-адресах. Следовательно, IP-адрес сервера, на котором установлена программа Kaspersky CyberTrace, должен отличаться от IP-адресов устройств, события которых необходимо пересылать в Kaspersky CyberTrace.
Чтобы настроить Kaspersky CyberTrace для интеграции с AlienVault USM / OSSIM, выполните следующие действия:
- Загрузите Kaspersky CyberTrace со страницы https://support.kaspersky.com/datafeeds/download/15920.
- Установка Kaspersky CyberTrace.
- Каталог установки в Linux:
/opt/kaspersky/ktfs
. - Каталог установки в Windows:
%CyberTrace_installDir%
.
- Каталог установки в Linux:
- При первом входе в веб-интерфейс Kaspersky CyberTrace открывается окно мастера первоначальной настройки.
Задайте следующие параметры Kaspersky CyberTrace:
- IP-адрес сервера, на котором выполняется AlienVault USM / OSSIM, и порт
514
Это IP-адрес и порт, на которые Kaspersky CyberTrace отправляет события обнаружения.
- IP-адрес сервера, на котором выполняется Kaspersky CyberTrace, и любой доступный порт (например,
9999
)Это IP-адрес и порт, на которые AlienVault USM / OSSIM отправляет события для проверки. Это порт, на котором Kaspersky CyberTrace прослушивает входящие события.
- Событие службы имеет следующий формат:
alert=%Alert% context=%RecordContext%
- Событие обнаружения имеет следующий формат:
category=%Category% detected=%MatchedIndicator% url=%RE_URL% src=%SRC_IP% ip=%RE_IP% hash=%RE_MD5% context=%RecordContext%
- IP-адрес сервера, на котором выполняется AlienVault USM / OSSIM, и порт
- В файле kl_feed_service.conf установите для атрибута
enabled
элементаOutputSettings > FinishedEventFormat
значениеfalse
. - Сохраните файл kl_feed_service.conf.
- Перезапустите Kaspersky CyberTrace с помощью веб-интерфейса Kaspersky CyberTrace или скрипта kl_feed_service.