Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с QRadar

Стандартная интеграция (QRadar)

Шаг 2. Отправка набора событий в QRadar

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Обзор решения Запрос в поддержку Видео о продуктах

Шаг 2. Отправка набора событий в QRadar

22 августа 2024

ID 167590

На этом шаге необходимо отправить в QRadar два набора событий, чтобы QRadar автоматически добавил два новых источника журналов — один для проверки работоспособности, а другой — для событий из Kaspersky CyberTrace Service.

Чтобы добавить новые источники журналов, выполните следующие действия:

  1. Отправьте файл журнала проверки работоспособности.

    Отправьте в QRadar файл verification/kl_verification_test_leef.txt, как описано в процедуре в подразделе «Отправка набора событий» ниже.

    После отправки файла проверки работоспособности QRadar будет содержать источник журналов KL_Verification_Tool.

  2. Отправьте образец файла журнала.

    Для тестирования и окончательной настройки интеграции с QRadar отправьте образец файла журнала integration/qradar/sample_initiallog.txt в QRadar, как описано в процедуре в подразделе «Отправка набора событий» ниже.

    После отправки файла проверки работоспособности QRadar будет содержать источник журналов KL_Feed_Service_v2.

    Согласно документации QRadar, после добавления нового источника журналов может быть пропущено до 25 событий. Таким образом, возможно, файл sample_initiallog.txt придется отправить несколько раз. Таким образом будет обеспечено отображение некоторых событий в QRadar и их обработка в Kaspersky CyberTrace Service.

Отправка набора событий

Чтобы отправить события в QRadar, выполните следующие действия:

  1. В элементе Connection конфигурационного файла Log Scanner укажите IPv4-адрес и порт сервера QRadar (обычно это 514).
  2. Вызовите следующую команду из каталога Log Scanner.

    В ОС Linux:

    ./log_scanner -p <log_file> [-p <log_file2> ...]

    В ОС Windows:

    log_scanner.exe -p <log_file> [-p <log_file2> ...]

    <log_file>, <log_file2> — отправляемые файлы журнала. Кроме того, можно указать каталог, содержащий файлы журнала для отправки.

  3. В QRadar Console (т. е. в веб-интерфейсе QRadar) выберите Admin > Log Sources.

    В списке источников журналов появится новый источник журналов типа Kaspersky CyberTrace.

  4. В форме настроек нового источника журналов снимите флажок Coalescing Events и нажмите кнопку Save.

    Окно Edit a log source в QRadar.

    Редактирование источника журналов

  5. При необходимости выполните развертывание изменений, для этого выберите пункт меню Admin > Deploy Changes в QRadar Console.

Если события не поступают на порт 514 сервера QRadar, выполните следующие команды с хоста, на котором установлен QRadar.

Выполните команду для консоли QRadar и подождите 5 минут:

/opt/qradar/support/all_servers.sh -Ck 'if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi'

Выполните команду для QRadar Community Edition и подождите 5 минут:

if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!