Добавление Kaspersky CyberTrace Service в качестве источника журналов

Чтобы события, отправляемые Kaspersky CyberTrace Service, поступали в QRadar, QRadar должен рассматривать Kaspersky CyberTrace Service как источник журналов. Kaspersky CyberTrace Service отправляет события в формате QRadar Log Event Extended Format (LEEF), а в качестве нового источника журналов в QRadar будет использоваться источник журналов Universal LEEF.

Чтобы добавить Kaspersky CyberTrace Service в QRadar в качестве источника журналов:

  1. Выберите пункт меню Admin → Log Sources → Add.
  2. В окне Add a log source введите уникальное имя для источника журналов.

    Это имя будет отображаться в графическом интерфейсе для всех событий из этого источника.

  3. Введите описание источника журналов.
  4. Выберите Universal LEEF в раскрывающемся списке Log Source Type.
  5. Выберите Syslog в раскрывающемся списке Protocol Configuration.
  6. В поле ввода Log Source Identifier введите идентификатор, заданный в конфигурационном файле Kaspersky CyberTrace Service — в данном случае это KL_Threat_Feed_Service_v2. Этот идентификатор используется в параметрах EventFormat и AlertFormat.

    Не устанавливайте флажок Coalescing Events. Если установить этот флажок, все события из Kaspersky CyberTrace Service будут объединяться в одно событие, не содержащее полезной информации.

    Окно «Add a log source» в QRadar.

    Добавление источника журналов в QRadar

  7. Нажмите на кнопку Save.

Выполните действия в том же порядке, чтобы добавить еще один источник журналов с идентификатором KL_Verification_Tool. Он будет использоваться для тестирования взаимодействия между Kaspersky CyberTrace Service и QRadar.

После добавления двух источников журналов выберите пункт меню AdminDeploy Changes.

Если события не поступают на порт 514 сервера QRadar, выполните следующие команды с хоста, на котором установлен QRadar.

Выполните команду для консоли QRadar и подождите пять минут:

/opt/qradar/support/all_servers.sh -Ck 'if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi'

Выполните команду для QRadar Community Edition и подождите пять минут:

if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi

В начало