В этом разделе описано, как настроить AlienVault USM / OSSIM для пересылки событий в Kaspersky CyberTrace.
Чтобы настроить AlienVault USM / OSSIM для пересылки событий в Kaspersky CyberTrace, выполните следующие действия:
/etc/rsyslog.conf
следующее правило:if ($fromhost-ip == '%DEVICE_IP%') then {action (type="omfwd" Target="%CyberTrace_IP_IN%" Port="%CyberTrace_PORT_IN%" Protocol="tcp" Device="%INTERFACE%") action (type="omfile" File="%PATH%")}
Параметры здесь имеют следующий смысл:
%CyberTrace_IP_IN%
– IP-адрес сервера, на котором выполняется Kaspersky CyberTrace.%CyberTrace_PORT_IN%
— порт, который Kaspersky CyberTrace прослушивает для получения событий.%INTERFACE%
– имя сетевого интерфейса сервера, на котором выполняется AlienVault USM / OSSIM, который будет использоваться для пересылки событий в Kaspersky CyberTrace.Например, eth0
.
%DEVICE_IP%
– IP-адрес устройства, события с которого поступают в AlienVault USM / OSSIM и должны быть пересланы в Kaspersky CyberTrace.action (type="omfile" File="%PATH%")
– инструкции для службы rsyslog по сохранению в AlienVault USM / OSSIM событий, которые пересылаются в Kaspersky CyberTrace.%PATH%
– путь к файлу, в котором будут храниться события. %PATH%
может быть любым файлом, в котором вы хотите хранить пересылаемые события.
action (type="omfile" File="%PATH%")
– необязательно. Вы можете указать эту команду в процессе интеграции, чтобы проверить следующее:
По завершении процесса интеграции рекомендуется удалить эту строку из файла конфигурации.
Это правило необходимо добавить после текста # rsyslog zasec.conf
. Если этого текста нет в файле конфигурации, добавьте правило перед следующими строками:
if not ($fromhost-ip == '127.0.0.1') then -/var/log/ossim/asec_unk.log
if not ($fromhost-ip == '127.0.0.1') then ~
/etc/init.d/rsyslog restart