Настройка CyberTrace для приема и обработки запросов

Вы можете настроить CyberTrace для приема и обработки запросов от KUMA сразу после установки в мастере первоначальной настройки или позднее в веб-интерфейсе программы.

Чтобы настроить CyberTrace для приема и обработки запросов в мастере первоначальной настройки:

1. Дождитесь запуска мастера первоначальной настройки CyberTrace после установки программы.

   Откроется окно Welcome to Kaspersky CyberTrace.

2. В раскрывающемся списке <select SIEM> выберите тип SIEM-системы, от которой вы хотите получать данные, и нажмите на кнопку Next.

   Откроется окно Connection Settings.

3. Выполните следующие действия:
   1. В блоке параметров Service listens on выберите вариант IP and port.
   2. В поле IP address введите 0.0.0.0.
   3. В поле Port введите укажите порт для получения событий, порт по умолчанию 9999.
   4. В блоке параметров Service sends events to в поле IP address or hostname укажите 127.0.0.1 и в поле Port укажите 9998.

      Остальные значения оставьте по умолчанию.

   5. Нажмите на кнопку Next.

   Откроется окно Proxy Settings.

4. Если в вашей организации используется прокси-сервер, укажите параметры соединения с ним. Если нет, оставьте все поля незаполненными и нажмите на кнопку Next.

   Откроется окно Licensing Settings.

5. В поле Kaspersky CyberTrace license key добавьте лицензионный ключ для программы CyberTrace.
6. В поле Kaspersky Threat Data Feeds certificate добавьте сертификат, позволяющий скачивать с серверов обновлений списки данных (data feeds), и нажмите на кнопку Next.

CyberTrace будет настроен.

Чтобы настроить CyberTrace для приема и обработки запросов в веб-интерфейсе программы:

1. В окне веб-интерфейса программы CyberTrace выберите раздел Settings – Service.
2. В блоке параметров Connection Settings выполните следующие действия:
   1. Выберите вариант IP and port.
   2. В поле IP address введите 0.0.0.0.
   3. В поле Port укажите порт для приема событий, порт по умолчанию 9999.
3. В блоке параметров Web interface в поле IP address or hostname введите 127.0.0.1.
4. В верхней панели инструментов нажмите на кнопку Restart the CyberTrace Service.
5. Выберите раздел Settings – Events format.
6. В поле Alert events format введите %Date% alert=%Alert%%RecordContext%.
7. В поле Detection events format введите Category=%Category%|MatchedIndicator=%MatchedIndicator%%RecordContext%.
8. В поле Records context format введите |%ParamName%=%ParamValue%.
9. В поле Actionable fields context format введите %ParamName%:%ParamValue%.

CyberTrace будет настроен.

После обновления конфигурации CyberTrace требуется перезапустить сервер CyberTrace.