В этом разделе описывается, как настроить AlienVault USM / OSSIM для обработки Kaspersky CyberTrace как источника событий. Чтобы настроить AlienVault USM / OSSIM для этой цели, обязательно выполните следующую процедуру на сервере, на котором выполняется AlienVault USM / OSSIM.
Чтобы настроить AlienVault USM / OSSIM для получения событий от Kaspersky CyberTrace, выполните следующие действия:
/etc/ossim/agent/plugins/
./usr/share/doc/ossim-mysql/contrib/plugins/
.Файлы kaspersky_cyberTrace.cfg и kaspersky_cyberTrace.sql поставляются вместе с данной справочной документацией или предоставляются персональным техническим менеджером (ПТМ).
plugins
файла /etc/ossim/agent/config.cfg
:kaspersky_cyberTrace =/etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg
/etc/rsyslog.conf
:if ($fromhost-ip == '%CyberTrace_IP_OUT%') then -/var/log/kaspersky_cyberTrace.log
Здесь %CyberTrace_IP_OUT%
– IP-адрес сервера, с которого Kaspersky CyberTrace отправляет события.
Рекомендуется добавлять эту строку перед правилами, которые добавляются при настройке AlienVault USM / OSSIM для пересылки событий в Kaspersky CyberTrace.
cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db
Эта команда добавляет информацию о Kaspersky CyberTrace в базу данных AlienVault.
/etc/init.d/ossim-agent restart
/etc/init.d/ossim-server restart
С помощью этой команды AlienVault USM / OSSIM применяет настройки, заданные в файле конфигурации kaspersky_cyberTrace.cfg. Этот файл содержит правила, которые AlienVault USM / OSSIM использует для парсинга событий Kaspersky CyberTrace.
/etc/init.d/rsyslog restart
logrotate
для архивирования событий Kaspersky CyberTrace на сервере, на котором работает AlienVault USM / OSSIM.kaspersky_cybertrace
в каталоге /etc/logrotate.d
.kaspersky_cybertrace
укажите следующие строки:/var/log/kaspersky_cyberTrace.log
{
# save 3 months of logs
rotate 3
monthly
missingok
notifempty
compress
delaycompress
sharedscripts
# run a script after log rotation
postrotate
invoke-rc.d rsyslog rotate > /dev/null
endscript
}
kaspersky_cybertrace
.Если требуется сохранить журналы за другой период, см. информацию о настройке файла kaspersky_cybertrace
в документации по logrotate.
После выполнения этой процедуры устройство Kaspersky CyberTrace будет добавлено в AlienVault USM / OSSIM.
Сервис rsyslog будет сохранять события из Kaspersky CyberTrace в файле /var/log/kaspersky_cyberTrace.log
.
После настройки Kaspersky CyberTrace и AlienVault USM / OSSIM выполните проверку работоспособности. Для этого отправьте события, используемые в проверке работоспособности, в Kaspersky CyberTrace с помощью утилиты Log Scanner (является частью Kaspersky CyberTrace). События для проверки работоспособности содержатся в файле verification/kl_verification_test.txt
. Результат проверки можно просмотреть в веб-интерфейсе AlienVault USM / OSSIM.
По умолчанию каждое событие обнаружения для каждого потока данных об угрозах Kaspersky Threat Data Feed имеет свой тип в AlienVault. Остальные события обнаружения имеют значение Kaspersky CyberTrace - Detection event
в поле event name
.
Вы можете переименовать события обнаружения импортированных потоков данных об угрозах, чтобы классифицировать события обнаружения по их категориям.
Чтобы переименовать события обнаружения импортированного потока данных об угрозах, выполните следующие действия:
translation
файла конфигурации /etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg
:%CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED%=%ANY_FREE_NUMERIC_VALUE%
где %CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED%
– значение атрибута категории импортированного потока данных об угрозах из kl_feed_service.conf
. Например: Custom_Feed = 50
.
/usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql
:(23021992, %NUMERIC_VALUE_SPECIFIED_AT_THE_kaspersky_cyberTrace.cfg%, 15, 71, NULL, 'Kaspersky CyberTrace - %NAME_TO_REPLACE%', 5, 8),
cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db
/etc/init.d/ossim-agent restart
/etc/init.d/ossim-server restart