ArcSight Forwarding Connector 設定でのカスタム ArcSight ユーザーの指定
このセクションでは、ArcSight Forwarding Connector 設定でカスタム ArcSight ユーザーを指定する方法について説明します。
ARB パッケージを ArcSight にインポートすると、FwdCyberTrace ユーザーが Kaspersky CyberTrace Connector グループ内に作成されます。このユーザーアカウントは、ArcSight Forwarding Connector が使用するためのものです。代わりに別のユーザーアカウントを使用できます。その場合は、FwdCyberTrace ユーザーと Kaspersky CyberTrace Connector グループを削除することを推奨します。カスタムユーザーは Forwarding Connector タイプを持つ必要があります。
ArcSight ESM から Kaspersky CyberTrace サービスにイベントを転送するためのカスタム ArcSight ユーザーアカウントを作成するには:
- ArcSight Console を実行します。
- [Navigator]ペインで[Resources]タブを選択します。
- ドロップダウンリストを開き、[Users]を選択します。
- ツリービューで、カスタムユーザーアカウントがあるユーザーグループを選択します。
このユーザーアカウントを、このユーザー専用に作成した別のユーザーグループに入れることを推奨します。
- ツリービューでグループエントリを右クリックして、[Edit Access Control]を選択します。
![ArcSight の[Edit Access Control]メニュー項目。](arcsight61.jpg)
アクセスの設定の編集
- [Inspect/Edit]ペインで[Events]タブを選択します。
- [Add]をクリックします。
- 次のイベントフィルターを選択します:
CyberTrace forwarding eventsこれは、ハッシュ、URL、IP アドレスを含んだイベントが対象のフィルターです。
イベントフィルターの選択
- ArcSight Forwarding Connector をインストールまたは再設定します。
ArcSight Forwarding Connector を再設定する手順は、このセクションの以下で説明します。
ArcSight Forwarding Connector を再設定するには:
- 現在の作業ディレクトリを
%FORWARDING_DIR%/current/binに変更します。%FORWARDING_DIR%は、ArcSight Forwarding Connector がインストールされているディレクトリです。 - runagentsetup.sh スクリプトを実行します。
- [Modify Connector]を選択し、[Next]をクリックします。
![ArcSight で[Modify Connector]を選択しています。](arcsight63.jpg)
コネクターの変更
- [Modify connector parameters]を選択し、[Next]をクリックします。
![ArcSight で[Modify connector parameters]を選択しています。](arcsight64.jpg)
コネクターのパラメータの変更
- ArcSight パラメータ、およびカスタムユーザーアカウントの資格情報を指定して、[Next]をクリックします。
![ArcSight の[Modify simple parameters]ウィンドウ。](arcsight65.jpg)
ArcSight Source Manager のパラメータの指定
- [Next]→[Finish]の順にクリックして、[Connector Setup]ウィンドウの項目を確定します。