В этом разделе описано, как настроить AlienVault USM / OSSIM для пересылки событий в Kaspersky CyberTrace.
Чтобы настроить AlienVault USM / OSSIM для пересылки событий в Kaspersky CyberTrace, выполните следующие действия:
/etc/rsyslog.conf следующее правило:if ($fromhost-ip == '%DEVICE_IP%') then {action (type="omfwd" Target="%CyberTrace_IP_IN%" Port="%CyberTrace_PORT_IN%" Protocol="tcp" Device="%INTERFACE%") action (type="omfile" File="%PATH%")}
Параметры здесь имеют следующий смысл:
%CyberTrace_IP_IN% – IP-адрес сервера, на котором выполняется Kaspersky CyberTrace.%CyberTrace_PORT_IN% — порт, который Kaspersky CyberTrace прослушивает для получения событий.%INTERFACE% – имя сетевого интерфейса сервера, на котором выполняется AlienVault USM / OSSIM, который будет использоваться для пересылки событий в Kaspersky CyberTrace.Например, eth0.
%DEVICE_IP% – IP-адрес устройства, события с которого поступают в AlienVault USM / OSSIM и должны быть пересланы в Kaspersky CyberTrace.action (type="omfile" File="%PATH%") – инструкции для службы rsyslog по сохранению в AlienVault USM / OSSIM событий, которые пересылаются в Kaspersky CyberTrace.%PATH% – путь к файлу, в котором будут храниться события. %PATH% может быть любым файлом, в котором вы хотите хранить пересылаемые события.
action (type="omfile" File="%PATH%") – необязательно. Вы можете указать эту команду в процессе интеграции, чтобы проверить следующее:
По завершении процесса интеграции рекомендуется удалить эту строку из файла конфигурации.
Это правило необходимо добавить после текста # rsyslog zasec.conf. Если этого текста нет в файле конфигурации, добавьте правило перед следующими строками:
if not ($fromhost-ip == '127.0.0.1') then -/var/log/ossim/asec_unk.log
if not ($fromhost-ip == '127.0.0.1') then ~
/etc/init.d/rsyslog restart