Kaspersky Unified Monitoring and Analysis Platform
2.0
Русский

Содержание

Настройка CyberTrace для приема и обработки запросов

Вы можете настроить CyberTrace для приема и обработки запросов от KUMA сразу после установки в мастере первоначальной настройки или позднее в веб-интерфейсе программы.

Чтобы настроить CyberTrace для приема и обработки запросов в мастере первоначальной настройки:

  1. Дождитесь запуска мастера первоначальной настройки CyberTrace после установки программы.

    Откроется окно Welcome to Kaspersky CyberTrace.

  2. В раскрывающемся списке <select SIEM> выберите тип SIEM-системы, от которой вы хотите получать данные, и нажмите на кнопку Next.

    Откроется окно Connection Settings.

  3. Выполните следующие действия:
    1. В блоке параметров Service listens on выберите вариант IP and port.
    2. В поле IP address введите 0.0.0.0.
    3. В поле Port введите 9999.
    4. В нижнем поле IP address or hostname укажите 127.0.0.1.

      Остальные значения оставьте по умолчанию.

    5. Нажмите на кнопку Next.

    Откроется окно Proxy Settings.

  4. Если в вашей организации используется прокси-сервер, укажите параметры соединения с ним. Если нет, оставьте все поля незаполненными и нажмите на кнопку Next.

    Откроется окно Licensing Settings.

  5. В поле Kaspersky CyberTrace license key добавьте лицензионный ключ для программы CyberTrace.
  6. В поле Kaspersky Threat Data Feeds certificate добавьте сертификат, позволяющий скачивать с серверов обновлений списки данных (data feeds), и нажмите на кнопку Next.

CyberTrace будет настроен.

Чтобы настроить CyberTrace для приема и обработки запросов в веб-интерфейсе программы:

  1. В окне веб-интерфейса программы CyberTrace выберите раздел SettingsService.
  2. В блоке параметров Connection Settings выполните следующие действия:
    1. Выберите вариант IP and port.
    2. В поле IP address введите 0.0.0.0.
    3. В поле Port введите 9999.
  3. В блоке параметров Web interface в поле IP address or hostname введите 127.0.0.1.
  4. В верхней панели инструментов нажмите на кнопку Restart Feed Service.
  5. Выберите раздел SettingsEvents format.
  6. В поле Alert events format введите %Date% alert=%Alert%%RecordContext%.
  7. В поле Detection events format введите Category=%Category%|MatchedIndicator=%MatchedIndicator%%RecordContext%.
  8. В поле Records context format введите |%ParamName%=%ParamValue%.
  9. В поле Actionable fields context format введите %ParamName%:%ParamValue%.

CyberTrace будет настроен.

После обновления конфигурации CyberTrace требуется перезапустить сервер CyberTrace.

В начало
[Topic 217768]