Указание собственного пользователя ArcSight в настройках ArcSight Forwarding Connector

В этом разделе описывается порядок указания собственного пользователя ArcSight в настройках ArcSight Forwarding Connector.

При импорте пакета ARB в ArcSight пользователь создается пользователь FwdCyberTrace в группе Kaspersky CyberTrace Connector. Эта учетная запись пользователя предназначена для использования в ArcSight Forwarding Connector. Вместо этой учетной записи пользователя можно создать другую. В этом случае рекомендуется удалить пользователя FwdCyberTrace и группу Kaspersky CyberTrace Connector. Обратите внимание, что создаваемый собственный пользователь должен иметь тип Forwarding Connector.

Чтобы создать собственную учетную запись пользователя ArcSight для пересылки событий из ArcSight ESM в Kaspersky CyberTrace Service, выполните следующие действия:

  1. Запустите ArcSight Console.
  2. На панели Navigator выберите вкладку Resources.
  3. Откройте раскрывающийся список и выберите Users.
  4. В дереве выберите группу пользователей, содержащую созданную собственную учетную запись.

    Рекомендуется поместить этого пользователя в отдельную группу пользователей, созданную только для этого пользователя.

  5. В дереве щелкните правой кнопкой мыши пункт группы и выберите Edit Access Control.

    Пункт меню Edit Access Control в ArcSight.

    Изменение настроек доступа

  6. На панели Inspect/Edit выберите вкладку Events.
  7. Нажмите на кнопку Add.
  8. Выберите следующие фильтры событий:
    • CyberTrace forwarding events

      Это фильтр для событий, содержащих хеши, URL и IP-адреса.

    Выбор фильтров событий в ArcSight.

    Выбор фильтров событий

  9. Установите или перенастройте ArcSight Forwarding Connector.

    Процедура перенастройки ArcSight Forwarding Connector описана ниже в этом разделе.

Чтобы изменить конфигурацию ArcSight Forwarding Connector, выполните следующие действия:

  1. Измените текущий рабочий каталог на %FORWARDING_DIR%/current/bin.

    Здесь %FORWARDING_DIR% — каталог, в который установлен ArcSight Forwarding Connector.

  2. Запустите скрипт runagentsetup.sh.
  3. Выберите Modify Connector и нажмите Next.

    Выбор Modify Connector в ArcSight.

    Изменение коннектора

  4. Выберите Modify connector parameters и нажмите Next.

    Выбор Modify connector parameters в ArcSight.

    Изменение параметров коннектора

  5. Задайте параметры ArcSight и учетные данные созданной собственной учетной записи, затем нажмите Next.

    Окно Modify simple parameters в ArcSight.

    Указание параметров ArcSight Source Manager

  6. Нажмите Next, затем нажмите Finish, чтобы завершить работу с окном Connector Setup.
В начало