В этом разделе описывается порядок установки Kaspersky CyberTrace App для QRadar.
Для управления приложением Kaspersky CyberTrace App для QRadar необходима учетная запись пользователя с ролью системного администратора.
Получение Kaspersky CyberTrace App для QRadar
Инсталляционный пакет Kaspersky CyberTrace App для QRadar можно получить у вашего персонального технического менеджера (ПТМ).
Установка Kaspersky CyberTrace App для QRadar
Чтобы установить Kaspersky CyberTrace App для QRadar, выполните следующие действия:
Форма «Extensions Management»
Отображается список изменений, которые будут внесены. В частности, отображаются пользовательские свойства событий, которые будут добавлены.
Добавляемые пользовательские свойства событий
При установке приложения добавляются следующие пользовательские свойства событий:
url
feed
geo
hash
files
first_seen
last_seen
mask
popularity
threat
whois
URL
SHA1 Hash
SHA256 Hash
MD5 Hash
ip
records_count
Эти свойства будут использоваться для включения индексов добавленных пользовательских свойств события и указания типа источника журналов.
Если используется приложение Kaspersky CyberTrace App для QRadar, поля, добавленные в QRadar при получении пользовательских свойств события, можно удалить. Эти поля дублируют поля, используемые в приложении Kaspersky CyberTrace App для QRadar. Если вместо этого удалить поля, добавленные при установке CyberTrace App для QRadar, приложение может работать некорректно.
После установки Kaspersky CyberTrace App for QRadar появится в форме Extensions Management.
После установки CyberTrace App для QRadar в QRadar Console появится вкладка с его названием (Kaspersky Data Feeds).
Вкладка Kaspersky Data Feeds
Появится форма Configuration required.
Форма Configuration required
Можно указать существующий токен или создать новый токен.
Если срок действия указанного токена истечет, при следующем выборе Kaspersky Data Feeds снова появится форма Configuration required. В этом случае будет необходимо указать новый токен.
IP-адрес 127.0.0.1
указать нельзя, даже если приложение Kaspersky Threat Feed установлено на одном сервере с QRadar. Вместо этого укажите внешний IP-адрес сервера QRadar.
Это имя отображается в столбце Name окна, которое открывается после выбора Admin > Log Sources в QRadar Console. Например, KL_Threat_Feed_Service_v2
.
Более подробную информацию об указании источников журналов см. в разделе о настройке Kaspersky CyberTrace App для QRadar.