Шаг 8. Проверка работоспособности

В этом разделе описывается порядок проверки правильности интеграции Kaspersky CyberTrace с LogRhythm путем выполнения проверки работоспособности.

Чтобы создать условия для проведения проверки работоспособности:

1. Создайте пользовательский тип источника журналов, как описано в разделе Шаг 1. Добавление пользовательского типа источника журналов, со следующими параметрами:

   Поле	Данные
   Имя	Kaspersky LogScanner
   Full Name	Kaspersky LogScanner
   Abbreviation	LogScanner
   Log Format	Syslog
   Brief Description	Kaspersky LogScanner is a command-line application that allows you to send data to Kaspersky CyberTrace Service for checking against feeds.

2. Добавьте новое общее событие, как описано в разделе Шаг 3 (необязательный). Добавление событий Kaspersky CyberTrace, со следующими параметрами:

   Поле	Данные
   Имя	LogScanner_event
   Classification	Audit : Other Audit
   Brief Description	LogScanner event for verification purposes
   Risk Rating	Low-Low

   

   Окно Common Event Properties

3. Добавьте правило MPE для Log Scanner, как описано в разделе Шаг 4 (необязательный). Добавление правил Kaspersky CyberTrace, со следующими параметрами:
   • На панели дерева Log Message Source Type Associations выберите Kaspersky LogScanner.
   • Укажите LogScanner_event в качестве имени правила (Rule Name).
   • В раскрывающемся списке Common Event выберите LogScanner_event.
   • В поле Rule Status выберите Production.
   • В поле Base-Rule Regular Expression введите «.*».

   

   Форма конструктора правил

4. Создайте новую политику для Kaspersky Log Scanner, как описано в разделе Шаг 5. Добавление политики Kaspersky CyberTrace.

   В списке Log Source Type выберите Kaspersky LogScanner. Задайте все остальные параметры, как описано в разделе Шаг 5. Добавление политики Kaspersky CyberTrace.

5. Добавьте источник журналов в System Monitor Agent:
   1. В файле конфигурации Log Scanner укажите IP-адрес сервера, на котором работает LogRhythm, и порт 514.
   2. Отправьте файл %service_dir%/verification/kl_verification_test_cef.txt в LogRhythm.
      • Для этого выполните следующую команду (в Linux):

        ./log_scanner -p ../verification/kl_verification_test_cef.txt

      • Для этого выполните следующую команду (в Windows):

        log_scanner.exe -p ..\verification\kl_verification_test_cef.txt

После того, как Kaspersky Log Scanner отправит событие, на вкладке Log Sources появится новый элемент.

Чтобы принять новый источник журнала, выполните следующие действия:

1. Щелкните по новому элементу правой кнопкой мыши и выберите пункт контекстного меню Actions > Resolve Log Source Hosts.
2. Дважды щелкните по новому элементу.

   Откроется окно Log Source Acceptance Properties.

   

   Окно Log Source Acceptance Properties

3. Измените свойства:
   • Укажите хост источника журналов.
   • Укажите Kaspersky LogScanner в качестве типа источника журналов.
   • Выберите политику MPE, созданную ранее для Kaspersky Log Scanner.
4. Нажмите на кнопку OK.
5. Если выводится сообщение об ошибке, указывающее на невозможность использования неизвестного узла источника журналов, добавьте новый объект следующим образом:
   1. В LogRhythm Console перейдите на вкладку Entities.
   2. Нажмите на кнопку New Child Entity на панели инструментов.

      

   3. В открывшемся окне Entity Properties задайте свойства объекта.

      

      Имя объекта должно быть уникальным и не может быть пустым. Остальные свойства объекта могут быть произвольными.

   4. Нажмите на кнопку OK.
   5. Повторите действие из шага 3 с использованием используя созданного объекта в качестве хоста источника журналов.
6. Установите флажок Action.
7. Щелкните правой кнопкой мыши по источнику журналов и выберите Actions > Accept > Defaults.

   

   Контекстное меню источника журналов

   Новый источник журналов добавляется в нижнюю таблицу LogRhythm Console.

   

   Новый источник журналов

8. Перезагрузите LogRhythm.

Если ранее была настроена пересылка журналов, как описано в разделе Шаг 7. Настройка пересылки журналов в Kaspersky CyberTrace, убедитесь, что Kaspersky LogScanner выбран в качестве источника журналов (Log Source) (см. подраздел «Добавление политики рассылки журналов»).

Чтобы выполнить проверку работоспособности, выполните следующие действия:

Повторно отправьте файл %service_dir%/verification/kl_verification_test_cef.txt в LogRhythm.

• Для этого выполните следующую команду (в Linux):

  ./log_scanner -p ../verification/kl_verification_test_cef.txt

• Для этого выполните следующую команду (в Windows):

  log_scanner.exe -p ..\verification\kl_verification_test_cef.txt

Если интеграция Kaspersky CyberTrace с LogRhythm настроена правильно, тестовые события из Log Scanner будут автоматически пересылаться в Kaspersky CyberTrace. После этого оповещения о событии из Kaspersky CyberTrace будут отправляться в LogRhythm. Количество информационных сообщений может варьироваться в зависимости от включенных потоков данных об угрозах Kaspersky Threat Data Feeds. Оповещения о событиях могут отображаться в веб-консоли LogRhythm, как описано в разделе Шаг 10 (необязательный). Отображение оповещений о событиях в LogRhythm. Также можно проверить интеграцию с LogRhythm, создав очередь отображения исходных событий в реальном времени на вкладке Tail консоли LogRhythm.