Шаг 5. Настройка управления данными

На шаге мастера Настройка управления данными необходимо выбрать и настроить SIEM-систему для интеграции с Kaspersky CyberTrace. Эти же настройки хранятся в конфигурационных файлах kl_feed_util.conf и kl_feed_service_log.conf.

От выбора SIEM-системы зависит формат конфигурационных файлов Kaspersky CyberTrace, поскольку эти файлы адаптируются под конкретную SIEM-систему.

Поддерживаются следующие SIEM-системы:

• Kaspersky Unified Monitoring and Analysis Platform
• Splunk
• ArcSight
• QRadar
• RSA NetWitness
• LogRhythm

Чтобы задать параметры управления данными, выполните следующие действия:

1. В разделе SIEM-система выберите SIEM-систему, с которой требуется интегрировать Kaspersky CyberTrace.
2. В разделе Входящие события задайте параметры сокета, который Kaspersky CyberTrace должен прослушивать в ожидании входящих событий:
   1. Выберите тип соединения, который требуется использовать: IP-адрес и порт или Сокет UNIX.
   2. В зависимости от типа подключения выполните одно из следующих действий:
      • Укажите IP-адрес и порт в полях IP-адрес и Порт.
      • В поле Сокет UNIX укажите сокет UNIX.

   Эти настройки хранятся в элементе InputSettings > ConnectionString файла kl_feed_service.conf.

3. В разделе Оповещения об обнаружении индикаторов компрометации укажите IP-адрес и порт, которые будут использоваться в Kaspersky CyberTrace для отправки оповещений об обнаружении индикаторов компрометации.

   Эти настройки хранятся в элементе OutputSettings > ConnectionString файла kl_feed_service.conf.

Для приема входящих событий и отправки исходящих оповещений можно использовать адреса IPv6.

В дальнейшем изменить настройки сервиса можно будет на странице Параметры → Общие веб-интерфейса Kaspersky CyberTrace.

В начало