Настройка ArcSight ESM
05 марта 2024
ID 220896
Чтобы ArcSight ESM мог получать события от Kaspersky Scan Engine, должен быть установлен ArcSight SmartConnector типа Syslog Daemon. Вы можете установить ArcSight SmartConnector на любой компьютер, который может подключаться к Kaspersky Scan Engine и ArcSight ESM.
Чтобы установить ArcSight SmartConnector:
- Запустите программу установки ArcSight SmartConnector.
Эта программа является компонентом HP ArcSight и не входит в состав Kaspersky Scan Engine.
- Укажите директорию установки ArcSight SmartConnector (далее
%ARCSIGHT_HOME%
). - Выберите Don't create links.
- После распаковки содержимого двоичного файла выберите Add a Connector.
Выбор Add a Connector
Если это окно не отображается, выполните следующую команду:
%ARCSIGHT_HOME%/current/bin/runagentsetup.sh
- Выберите Syslog Daemon в качестве типа коннектора.
- Укажите параметры коннектора в форме Enter the parameter details следующим образом:
- Network port. Укажите порт, на который Kaspersky Scan Engine должен отправлять события обнаружения.
Укажите этот же порт в параметрах Kaspersky Scan Engine Syslog.
- IP address. Укажите IP-адрес, на который Kaspersky Scan Engine должен отправлять события обнаружения.
Укажите тот же IP-адрес в параметрах Kaspersky Scan Engine Syslog.
Вы можете указать (ALL), если хотите, чтобы Arcsight SmartConnector получал события со всех сетевых интерфейсов компьютера, на котором он работает. Обратите внимание, что вы не можете указать (ALL) в файле конфигурации Kaspersky Scan Engine.
- Protocol. Укажите Raw TCP.
- Forwarder. Укажите false.
Определение параметров коннектора
Нажмите Next.
- Network port. Укажите порт, на который Kaspersky Scan Engine должен отправлять события обнаружения.
- Укажите ArcSight Manager (encrypted) в качестве типа назначения.
Выбор типа назначения
Нажмите Next.
- Укажите параметры назначения:
- Manager Hostname. Укажите хост, на котором запущен ArcSight Manager.
- Manager Port. Укажите хост, на котором доступен ArcSight Manager. Значение по умолчанию: 8443.
- User. Укажите имя пользователя ArcSight ESM, у которого есть права на регистрацию коннектора.
- Password. Укажите пароль пользователя ArcSight ESM.
- AUP Master Destination. Укажите false.
- Filter Out All Events. Укажите false.
- Enable Demo CA. Укажите false.
Определение параметров назначения
Нажмите Next.
- Укажите детали коннектора:
- Имя (можно указать произвольное значение).
- Местоположение (можно указать произвольное значение).
- Расположение устройства, которое должно отправлять события на коннектор (можно указать произвольное значение или оставить его пустым).
- Комментарий к коннектору (можно указать произвольное значение или оставить его пустым).
Нажмите Next.
- Если параметры ArcSight Manager действительны, примите импорт сертификата из места назначения.
- Если сертификат импортирован успешно, установите сервис ArcSight SmartConnector.
Если вы не запустите установку от имени пользователя root, отобразится следующее предупреждение:
Если вы не запускаете установку от имени пользователя root
Файл
%ARCSIGHT_HOME%/current/logs/agent.log
содержит сообщения о процессе установки.Вы можете пропустить следующий шаг, описывающий, как указать параметры службы.
Если вы запускаете установку от имени пользователя root, выберите Install as a service.
Нажмите Next.
- Укажите параметры службы.
Рекомендуется установить имя службы, указанное в Service Internal Name, таким же, как имя коннектора.
Определение параметров службы
Нажмите Next.
- Чтобы запустить ArcSight SmartConnector, выполните следующую команду:
/etc/init.d/arc_$service_name start
В этой команде
$service_name
– это внутреннее имя службы.
После завершения настройки ArcSight ESM вы можете настроить Kaspersky Scan Engine.