На этом шаге необходимо отправить в QRadar два набора событий, чтобы QRadar автоматически добавил два новых источника журналов — один для проверки работоспособности, а другой — для событий из Kaspersky CyberTrace Service.
Чтобы добавить новые источники журналов, выполните следующие действия:
Отправьте в QRadar файл verification/kl_verification_test_leef.txt
, как описано в процедуре в подразделе «Отправка набора событий» ниже.
После отправки файла проверки работоспособности QRadar будет содержать источник журналов KL_Verification_Tool
.
Для тестирования и окончательной настройки интеграции с QRadar отправьте образец файла журнала integration/qradar/sample_initiallog.txt
в QRadar, как описано в процедуре в подразделе «Отправка набора событий» ниже.
После отправки файла проверки работоспособности QRadar будет содержать источник журналов KL_Feed_Service_v2
.
Согласно документации QRadar, после добавления нового источника журналов может быть пропущено до 25 событий. Таким образом, возможно, файл sample_initiallog.txt придется отправить несколько раз. Таким образом будет обеспечено отображение некоторых событий в QRadar и их обработка в Kaspersky CyberTrace Service.
Отправка набора событий
Чтобы отправить события в QRadar, выполните следующие действия:
Connection
конфигурационного файла Log Scanner укажите IPv4-адрес и порт сервера QRadar (обычно это 514
).В ОС Linux:
./log_scanner -p <log_file> [-p <log_file2> ...]
В ОС Windows:
log_scanner.exe -p <log_file> [-p <log_file2> ...]
<log_file>
, <log_file2>
— отправляемые файлы журнала. Кроме того, можно указать каталог, содержащий файлы журнала для отправки.
В списке источников журналов появится новый источник журналов типа Kaspersky CyberTrace
.
Редактирование источника журналов
Если события не поступают на порт 514 сервера QRadar, выполните следующие команды с хоста, на котором установлен QRadar.
Запустите команду для консоли QRadar и подождите 5 минут:
/opt/qradar/support/all_servers.sh -Ck 'if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi'
Запустите команду для QRadar Community Edition и подождите 5 минут:
if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi