В этом разделе описывается, как настроить AlienVault USM / OSSIM для обработки Kaspersky CyberTrace как источника событий. Чтобы настроить AlienVault USM / OSSIM для этой цели, обязательно выполните следующую процедуру на сервере, на котором выполняется AlienVault USM / OSSIM.
Чтобы настроить AlienVault USM / OSSIM для получения событий от Kaspersky CyberTrace, выполните следующие действия:
/etc/ossim/agent/plugins/./usr/share/doc/ossim-mysql/contrib/plugins/.Файлы kaspersky_cyberTrace.cfg и kaspersky_cyberTrace.sql поставляются вместе с данной справочной документацией или предоставляются персональным техническим менеджером (ПТМ).
plugins файла /etc/ossim/agent/config.cfg:kaspersky_cyberTrace =/etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg
/etc/rsyslog.conf:if ($fromhost-ip == '%CyberTrace_IP_OUT%') then -/var/log/kaspersky_cyberTrace.log
Здесь %CyberTrace_IP_OUT% – IP-адрес сервера, с которого Kaspersky CyberTrace отправляет события.
Рекомендуется добавлять эту строку перед правилами, которые добавляются при настройке AlienVault USM / OSSIM для пересылки событий в Kaspersky CyberTrace.
cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db
Эта команда добавляет информацию о Kaspersky CyberTrace в базу данных AlienVault.
/etc/init.d/ossim-agent restart
/etc/init.d/ossim-server restart
С помощью этой команды AlienVault USM / OSSIM применяет настройки, заданные в файле конфигурации kaspersky_cyberTrace.cfg. Этот файл содержит правила, которые AlienVault USM / OSSIM использует для парсинга событий Kaspersky CyberTrace.
/etc/init.d/rsyslog restart
logrotate для архивирования событий Kaspersky CyberTrace на сервере, на котором работает AlienVault USM / OSSIM.kaspersky_cybertrace в каталоге /etc/logrotate.d.kaspersky_cybertrace укажите следующие строки:/var/log/kaspersky_cyberTrace.log
{
# save 3 months of logs
rotate 3
monthly
missingok
notifempty
compress
delaycompress
sharedscripts
# run a script after log rotation
postrotate
invoke-rc.d rsyslog rotate > /dev/null
endscript
}
kaspersky_cybertrace.Если требуется сохранить журналы за другой период, см. информацию о настройке файла kaspersky_cybertrace в документации по logrotate.
После выполнения этой процедуры устройство Kaspersky CyberTrace будет добавлено в AlienVault USM / OSSIM.
Сервис rsyslog будет сохранять события из Kaspersky CyberTrace в файле /var/log/kaspersky_cyberTrace.log.
После настройки Kaspersky CyberTrace и AlienVault USM / OSSIM выполните проверку работоспособности. Для этого отправьте события, используемые в проверке работоспособности, в Kaspersky CyberTrace с помощью утилиты Log Scanner (является частью Kaspersky CyberTrace). События для проверки работоспособности содержатся в файле verification/kl_verification_test.txt. Результат проверки можно просмотреть в веб-интерфейсе AlienVault USM / OSSIM.
По умолчанию каждое событие обнаружения для каждого потока данных об угрозах Kaspersky Threat Data Feed имеет свой тип в AlienVault. Остальные события обнаружения имеют значение Kaspersky CyberTrace - Detection event в поле event name.
Вы можете переименовать события обнаружения импортированных потоков данных об угрозах, чтобы классифицировать события обнаружения по их категориям.
Чтобы переименовать события обнаружения импортированного потока данных об угрозах, выполните следующие действия:
translation файла конфигурации /etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg:%CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED%=%ANY_FREE_NUMERIC_VALUE%
где %CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED% – значение атрибута категории импортированного потока данных об угрозах из kl_feed_service.conf. Например: Custom_Feed = 50.
/usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql:(23021992, %NUMERIC_VALUE_SPECIFIED_AT_THE_kaspersky_cyberTrace.cfg%, 15, 71, NULL, 'Kaspersky CyberTrace - %NAME_TO_REPLACE%', 5, 8),
cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db
/etc/init.d/ossim-agent restart
/etc/init.d/ossim-server restart