Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с AlienVault USM / OSSIM

Настройка Kaspersky CyberTrace для интеграции с AlienVault USM / OSSIM

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Настройка Kaspersky CyberTrace для интеграции с AlienVault USM / OSSIM

11 апреля 2024

ID 183922

В этом разделе описано, как настроить Kaspersky CyberTrace для интеграции с AlienVault USM / OSSIM.

Kaspersky CyberTrace и устройство, события которого будут пересылаться в Kaspersky CyberTrace, должны работать на разных серверах. Правила пересылки основаны на IP-адресах. Следовательно, IP-адрес сервера, на котором установлена программа Kaspersky CyberTrace, должен отличаться от IP-адресов устройств, события которых необходимо пересылать в Kaspersky CyberTrace.

Чтобы настроить Kaspersky CyberTrace для интеграции с AlienVault USM / OSSIM, выполните следующие действия:

  1. Загрузите Kaspersky CyberTrace со страницы https://support.kaspersky.com/datafeeds/download/15920.
  2. Установка Kaspersky CyberTrace.
    • Каталог установки в Linux: /opt/kaspersky/ktfs.
    • Каталог установки в Windows: %CyberTrace_installDir%.
  3. При первом входе в веб-интерфейс Kaspersky CyberTrace открывается окно мастера первоначальной настройки.

    Задайте следующие параметры Kaspersky CyberTrace:

    • IP-адрес сервера, на котором выполняется AlienVault USM / OSSIM, и порт 514

      Это IP-адрес и порт, на которые Kaspersky CyberTrace отправляет события обнаружения.

    • IP-адрес сервера, на котором выполняется Kaspersky CyberTrace, и любой доступный порт (например, 9999)

      Это IP-адрес и порт, на которые AlienVault USM / OSSIM отправляет события для проверки. Это порт, на котором Kaspersky CyberTrace прослушивает входящие события.

    • Событие службы имеет следующий формат:

      alert=%Alert% context=%RecordContext%

    • Событие обнаружения имеет следующий формат:

      category=%Category% detected=%MatchedIndicator% url=%RE_URL% src=%SRC_IP% ip=%RE_IP% hash=%RE_MD5% context=%RecordContext%

  4. В файле kl_feed_service.conf установите для атрибута enabled элемента OutputSettings > FinishedEventFormat значение false.
  5. Сохраните файл kl_feed_service.conf.
  6. Перезапустите Kaspersky CyberTrace с помощью веб-интерфейса Kaspersky CyberTrace или скрипта kl_feed_service.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!